MicrosoftがAzure ADで「FIDO2」対応、パブリックプレビュー開始：パスワードはもはや時代遅れ

Microsoftは「Azure Active Directory」（Azure AD）で、「FIDO2」セキュリティキーのサポート機能のパブリックプレビュー版の提供を開始した。パスワードレス認証がまた一歩前進した形だ。

[＠IT]

　Microsoftは2019年7月10日（米国時間）、「Azure Active Directory」（Azure AD）でパスワードレス認証を可能にしたと発表した。

　「FIDO2」セキュリティキーをサポートするパブリックプレビュー版の提供を開始したことで、Azure ADに接続する全てのアプリケーションとサービスへのシームレスで安全な、パスワードレスアクセスを提供する第一歩になったという。

　FIDO2は非営利団体「FIDO Alliance」が推進するオープンな次世代認証標準。生体認証（UAF）と2段階認証（U2F）からなる。FIDO2はパスワード認証と異なり、パスワード文字列のような機密情報を端末から送信しないことが特徴。FIDO2に対応するサービスとWebブラウザを利用すれば、Web上でもパスワードレス認証が可能になる。

パスワードにはもはや効果がない

　Microsoftがパスワードレス化を進めているのは、「クラウドサービスやクラウドアプリに顧客が移行している上に、パスワードがもはや効果的なセキュリティメカニズムではなくなっている」と認識しているからだ。「業界の調査によると、成功したサイバー攻撃の81％は、ユーザー名とパスワードの侵害から始まっている。従来のMFA（Multi-Factor Authentication）は非常に効果的だが、普及率が大変に低い」とMicrosoftは指摘し、「安全で使いやすい認証オプションを顧客に提供する必要があるのは明らかだ」との見解を示している。

　Microsoftは、パスワードレス認証は、アカウント侵害のリスクを大幅に、永続的に軽減するのに役立つと考えている。

　Microsoftのパスワードレス戦略は、4段階からなる。「代替ソリューションの導入」「パスワード適用範囲の縮小」「パスワードレスへの移行」「パスワードの排除」だ。

4段階からなるMicrosoftのパスワードレス戦略（出典：Microsoft）

　Azure ADにおける取り組みは、パスワードレスを実現するための重要なマイルストーンだという。4段階の戦略のうち、第2段階や第3段階を実現するものだと捉えることが可能だ。

　同社は今後、ハイブリッドデバイスでもFIDO2認証を行えるよう改善する予定だ。

パスワードレスで何ができるのか

　Microsoftは今回、Azure ADポータルで一連の新しい管理機能を有効にした。管理者が社内のユーザーとグループの認証要素を管理できるようになった。

　これにより、「FIDO2セキュリティキーや『Microsoft Authenticator』アプリケーションを使って、パスワードレス認証の段階的な展開を管理できるようになった」という。Microsoftは、これまで提供してきた多要素認証（MFA）やOATH（Initiative for Open AuTHentication）トークン、電話番号サインインといった全ての認証要素を管理できる機能を提供する予定だ。

　全てのAzure ADユーザーはFIDO2セキュリティキーかMicrosoft Authenticatorアプリ、「Windows Hello」のいずれかを使って、パスワードを使わずにサインインできるとMicrosoftは説明しており、「これらの強力な認証要素は、全世界で使われている公開鍵暗号方式と、プロトコルに基づいている」と続けている。

パスワードレスサインインの処理フロー　（1）PINなどをユーザーが入力するとデバイスに与えると、（2）デバイスが本人を認証し、（3）秘密鍵を送信、（4）サーバが認証し、認証結果をデバイスに戻す（出典：Microsoft）

　デバイス内部にある公開鍵暗号の秘密鍵は、ユーザーの指紋や顔といった生体認証やPINによって保護されている。秘密鍵は、ユーザーとデバイスの本人性をサービスに対して証明するために使われる。

PINを利用してサインインしているところ（出典：Microsoft）

設定画面で認証方式を選択できる

　Azure ADで提供を開始したパブリックプレビュー版の新機能は以下の通り。

• Azure AD管理ポータルにおける新しい認証方式設定

　FIDO2セキュリティ機能を使ったパスワードレス資格情報取得や、Microsoft Authenticatorを使ったパスワードレスサインインを、ユーザーとグループに割り当て可能になった。

認証方式を設定するAzure ADの管理画面（出典：Microsoft）

• ユーザーによる管理機能

　統合レジストレーションポータルで、ユーザーが自らFIDO2セキュリティキーを作成、管理できるにようになった。

統合レジストレーションポータルの画面（出典：Microsoft）

• Webブラウザ対応

　「Microsoft Edge」と「Mozilla Firefox」の最新版で、FIDO2セキュリティキーを使って、Azure ADに登録されたWindows 10デバイスを認証できる。

Webブラウザからデバイスを認証できる（出典：Microsoft）

FIDO2ハードウェアへの対応を進める

　Microsoftは、USBやNFC（Near Field Communication）に対応するキーなど、ユーザーが幅広いフォームファクタのFIDO2ハードウェアを利用できるように、Feitian TechnologiesやHID Global、Yubicoといった主要ハードウェアパートナーと協力している。

FIDO2対応USBキーの例（出典：Microsoft）