こんにちは、Azure Identity サポート チームの 高田 です。
本記事は、2024 年 5 月 2 日に米国の Microsoft Entra (Azure AD) Blog で公開された Public preview: Expanding passkey support in Microsoft Entra ID の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。
パスワードというものを本気でこの世からなくしたいと思っています。パスワードという仕組みをこれ以上よくする方法というのは実質的にない のです。多要素認証 (MFA) を利用するユーザーが増えるにつれて、攻撃者は Adversary-in-the-Middle (AitM) フィッシングやソーシャル エンジニアリング攻撃をより多用しています。これらの攻撃は、ユーザーが意図せず認証情報を攻撃者に晒してしまうように仕向けるというものです。
では、これらの攻撃をどのようにしてかわし、簡単かつ安全なサインインを実現できるでしょうか?答えはパスキーです!
パスキーは、W3C WebAuthN 標準をサポートするインターネット リソースにサインインするために使用できる、強力かつフィッシング耐性のある認証方法です。パスワードレスの動向に詳しい方であればご存じのとおり、パスキーは FIDO2 標準の進化したものといえます。弊社はすでに、ハードウェア セキュリティ キーに保存されたパスキーを使用して Entra ID にサインインすることをサポートしており、本日は、パスキーへの追加サポート を発表いたします。具体的には、最も厳格なセキュリティ要件を持つお客様向けに、iOS および Android の Microsoft Authenticator アプリでデバイスにバインドされたパスキーのサポートを追加 いたします。
Microsoft Authenticator に追加される新しい機能の説明の前に、パスキーについておさらいいたしましょう。
パスキーはフィッシングの試みを無力化する
パスキーは、公開鍵/秘密鍵暗号 を応用し、ユーザーに直接的な操作を要求することで、高いセキュリティを実現します。以前のブログ で詳しく説明したように、パスキーには「Verifier Impersonation Resistance」の特徴があります:
- URL 固有: パスキーのプロビジョニング プロセスでは、リライング パーティーの URL が記録されるため、パスキーはその URL と同じサイトでのみ機能します。
- デバイス固有: リライング パーティーは、アクセスを要求しているデバイスにパスキーが同期されているか、保存されているか、接続されている場合にのみ、ユーザーにアクセスを許可します。
- ユーザー固有: ユーザーは、認証の際に物理的にその場に存在していることを証明する必要があります。通常は、アクセスを要求しているデバイスで何らかの操作を行います。
これらの特性が組み合わさることで、パスキーはフィッシングをほぼ不可能にします。
パスキーは専用のハードウェア セキュリティ キー、電話、タブレットおよびノート PC にホスト可能
ユーザーは、専用のハードウェア セキュリティキー (FIDO2 セキュリティ キーなど) または電話、タブレット、PC などの ユーザー デバイス にパスキーを保存することができます。パスキーをサポートするユーザーデバイスプラットフォームの例としては、Windows 10/11、iOS 17、Android 14 が挙げられます。それぞれ、ユーザー デバイス自体に直接保存されたパスキーでサインインすること、または近くにあるユーザー デバイスやセキュリティ キーに接続してパスキーを使用してサインインすることが可能です。これは例えば、Bluetooth の範囲内のモバイル デバイス、NFC 対応のセキュリティ キー、またはユーザー のデバイスに接続された USB セキュリティ キーなどです。
お客様の組織が専用のハードウェア セキュリティ キーを発行している場合、USB ポートにキーを挿入するか、NFC の読み取り機にかざして、必要な PIN または生体認証を行うことでサインインします。
ユーザーのデバイス上のパスキーを使用してサインインするには、デバイスで顔または指紋をスキャンするか、デバイスの PIN を入力するだけです。新しい電話や PC など、別のデバイス上のアプリケーションにサインインするのも簡単です。パスキーをホストしているデバイスのカメラを、別のデバイスに表示されている QR コードに向け、パスキーと生体認証または PIN を使用してサインインします。Android や iPhone を使用して Amazon.com などのサービスにサインインする際にすでにこの流れを利用されているかもしれません。
パスキーはデバイスに固定 (バインド) か同期が可能
シナリオによっては、デバイスにバインド されたパスキー、もしくは 同期可能 なパスキーを選択いただけます。
デバイスにバインドされたパスキーは、その名のとおり、発行されたデバイスから外部に出ることはありません。セキュリティ キーまたは Windows Hello を使用してサインインする場合は、デバイスにバインドされたパスキーを使用しています。定義上、デバイスにバインドされたパスキーはバックアップや復元ができません。これらの操作中にパスキーがハードウェアから外部に出てしまうためです。この制限は、同期や復元の間に生じうるセキュリティの脆弱性からパスキーを保護する必要がある組織にとって (時には法律に従うという意味でも) 重要です。
専用のハードウェア キーにより強力なセキュリティが得られますが、発行と管理にはコストがかかることがあります。専用デバイスを紛失、交換、または破損した場合、新しいデバイスに新しいパスキーをプロビジョニングする必要があります。そして、デバイスにバインドされたパスキーは簡単に持ち運びができませんし、回復もできないため、パスワードをやめようというユーザーは敷居が高いと感じてしまう場合があります。厳格に規制された環境にいないユーザーがより簡単に利用できるようにするために、業界は同期可能なパスキーのサポートを導入しました。同期可能なパスキーはバックアップと復旧が可能で、同じパスキーをデバイス間で共有したり、デバイスを紛失したりアップグレードした場合に復元したりすることができます。新しいものをプロビジョニングする必要はありません。
ユーザーのクライアント デバイス上の同期可能なパスキーは使いやすく管理が簡単で、高いセキュリティを提供する
ユーザーのデバイス上の同期可能なパスキーは非常に優れています。というのも、パスワードレスかつフィッシングに強い認証への移行を試みる組織がこれまで直面してきた最も厳しいユーザビリティと紛失時の回復性の課題に応えるものだからです。ユーザーのデバイス上にパスキーをホストすることで、組織は別のデバイスを発行または管理する必要がなく、ユーザーのクライアント デバイスとクラウド間で同期を行うことで、デバイスにバインドされたキーを使用していた場合に生じる回復と再発行の費用が大幅に削減できます。そして何よりも、パスワードをパスキーに置き換えることで、99% 以上の ID への攻撃を防ぐことができます。
これらの恩恵の組み合わせにより、同期可能なパスキーが大多数のユーザーと組織にとって最適な選択肢になると期待しています。Android と iOS デバイスは現在、同期可能なパスキーをホストでき、この秋までに Windows でのサポートを追加する予定です。弊社の 2024 年のロードマップには、Microsoft Entra ID と Microsoft コンシューマー アカウント でのデバイスにバインドされたパスキーと同期可能なパスキーの両方のサポートが予定されています。今年後半のさらなる発表をお待ちください。
Microsoft Authenticator におけるデバイスにバインドされたパスキー
業界や政府の規制、または他の非常に厳格なセキュリティ ポリシーにより、一部の企業や政府機関は、Microsoft Entra へのサインインにデバイスにバインドされたパスキーを使用することが求められます。これらのごく一部の組織には、紛失した認証情報の回復や、従業員が認証情報を他人と共有することを防ぐための厳格な要件があります。しかし同時に、これらの組織は携帯電話などのユーザー クライアント デバイスにパスキーを保存することによる使い勝手や管理性、展開の恩恵も求めています。
ユーザーのデバイス上にパスキーをホストする利点:
- 組織は専用のハードウェアをプロビジョニングする必要がない。
- ユーザーが日常的に使用するコンピューティング デバイスを紛失する可能性は低い。
- ユーザーのデバイス上にホストされたパスキーでサインインする方が簡単である。
弊社は、非常に規制が強く最もセキュリティ意識が高いお客様にとって、デバイスにバインドされたキーが必須であることを承知しています。そのため、これらのお客様と、より広範な FIDO コミュニティと連携して、追加の選択肢を提供するための活動を行っています。この活動の一環として、iOS および Android の Microsoft Authenticator アプリでデバイスにバインドされたパスキーのサポートを追加しています。別にデバイスをプロビジョニングする代わりに、高セキュリティを求める組織では、従業員が既存の携帯電話とデバイスにバインドされたパスキーを使用して Entra ID にサインインするように構成できるようになりました。ユーザーは、生体認証やロック画面の PIN またはパスワードを含む、おなじみのインターフェースを利用しつつ、組織は厳格なセキュリティ要件を満たすことができます。なぜなら、ユーザーは Microsoft Authenticator にあるデバイスにバインドされたパスキーを同期、共有、または回復することができないからです。
デバイスにバインドされたパスキーを使用する組織は、Google (関連記事を参照) や Apple (関連記事を参照) などのベンダーによる大きな投資の恩恵を得られるのです。これらの企業は、厳格な規制やセキュリティ要件を満たすべく、セキュリティが高く、ユーザーが自らパスキーの回復を行うようなモデルを作ろうと大きな投資を行ってきました。Google や Apple は、Microsoft Authenticator にホストされたものを含め、デバイスにバインドされたパスキーの共有と回復の機能を担っています。
Microsoft Authenticator 上の、デバイスにバインドされたパスキーの使用に関する詳細なガイダンスについては、当社の ドキュメント を参照ください。
パスワードレス認証に対する Microsoft のコミットメント
Microsoft は、Entra、Windows、Microsoft アカウントなどの製品でパスキーのサポートを強化し続けます。皆様の環境で二度とパスワードを利用しなくて済むようお手伝いができることがありましたら、ぜひフィードバックをお寄せください。
Alex Weinert
VP Director of Identity Security, Microsoft
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。