Windows 10の新しいユーザー認証機能である「Microsoft Passport」。ポイントは、ユーザーとデバイス間と、デバイスとサーバー間の認証を分離したことだ。「デバイスへのログオン」と「デバイスからサーバーへのアクセス」で認証を分離することで、認証情報がネットワークを流れることを防ぐ。サーバー側にパスワードは保存されないので、不正アクセスによって漏洩する心配もない。

パスワード認証のデメリットを克服
Microsoft Passportは新しいユーザー認証機能。デバイスへのログオンと、デバイスとサーバー間の認証を分離することで、利便性と安全性を高めている。生体認証機能のWindows Helloと組み合わせて利用できる。
[画像のクリックで拡大表示]

 また、ユーザーはデバイスにログオンするためのPINさえ覚えていればよい。サーバーごとにパスワードを作成して覚える必要がない。

 ただしサーバー側は、FIDOと呼ばれる認証方式に対応している必要がある。

 デバイスのログオンには生体認証も利用できる。Windows 10では、「Windows Hello」という名称で生体認証の機能を標準で備えている。従来のWindowsでも生体認証は利用できたが、ドライバーなどを追加しなければならない。

 デバイスとサーバー間の認証の流れを詳しく見ていこう。サーバーでのユーザー認証には、PKIを利用する。デバイスでのユーザー認証が成功すると、WindowsはTPMに保管している秘密鍵にアクセスできるようになる。サーバーには、その秘密鍵に対応する公開鍵をあらかじめ登録しておく。

次ページ以降はITpro Active会員(無料)の方のみお読みいただけます。