[今月の技術トピック] ハイブリッドな Active Directory の設計 ～Windows Server 2016 版～

"笑顔" は認証要素になりうるか?

「キミの笑顔に乾杯!」
そんなケツが割れるようなセリフを、過去、誰かに告げたことがある人は赤面しながら心から反省してください。
それはともかく、ここで、「キミの笑顔に乾杯」を認証と認可に分解してみましょう。
「キミ」と言っているわけですから、このセリフを発した当人は「キミ」であることを一定の確度で識別し、「キミ」を認証しているといえます。
当人は「キミ」を識別することができるアイデンティティ プロバイダーの役割をはたしています。
では「笑顔」はどうかといえば、これは「認可」の要素です。「笑顔」がなければ「キミ」を識別できなかったのであれば認証のための要素であり、まさに多要素認証を行ったと言えるわけですが、今回はどうやらそうではありません。当人は「君」を識別しただけでは「乾杯」するまでのモチベーションに至らなかったのでしょう。
サロンのヴィンテージを開けるには「笑顔」が必要だったのです。
このように、認証要素は本人であることの精度をどれだけ高めるか? に寄与していることが重要であり、「笑顔であること」「昨日風呂に入ったこと」といった条件は認証要素とは言えません。これらは特定の業務にアクセスするための前提条件として使用される「認可要素」であると言えます。
ITの世界ではエモーション (感情) を識別する機能は進化しつつあります。以前より “コグニティブ” に関連したテクノロジーに注目が集まっていますが、マイクロソフトからも顔や動作、声などから利用者の状態や状況を識別する「コグニティブ サービス API」が提供されており、手元のプログラミング言語から比較的簡単に利用できます。今後、重要な業務サービスにアクセスするには「100% の笑顔」が認可の条件として付加される時代が来るかもしれません。

では、認証の精度を高めるにはどうするべきか?
従来はユーザー ID とパスワードを「知っている」ことを条件にしていました。もちろん今でも多くのシステムがこの仕組みを採用しています。
しかしパスワードの脆弱性が問題となってアタックを受け入れてしまうという事件が報道されるにつれ、それに代わる方法を採用する企業が増えてきました。
「知っている」ものによる認証ではなく「持っている」ものを使用した認証です。スマートカードが代表的な仕組みですが、さらにその先を行く認証方式が Windows 10 には実装されています。それが生体認証です。「持っている」ものは盗まれる可能性がありますが、その難易度を大幅に高めたのが生体認証です。これは Windows Hello と呼ばれています。
少し難しい話になりますが、Windows Hello を使用するには Microsoft Passport という認証の仕組みが使われている必要があります。Microsoft Passport を使用できる条件は以下の通りです。

• Microsoft Account を使用して Windows 10 にサインインする
• Azure Active Directory に参加し、Azure Active Directory のアカウントで Windows 10 にサインインする
  そして、今後新たにサポートされる条件が以下です。
• Windows Sever 2016 AD ドメインに参加し、Windows Server 2016 AD のアカウントで Windows 10 にサインインする

そうなのです。Windows Server 2016 AD では Microsoft Passport による認証がサポートされるとともに、デバイスが対応していれば Windows Hello の生体認証によってドメイン内のリソースにアクセスすることができるようになります。
Microsoft Passport は単なるユーザー認証ではありません。ユーザーの識別とともに、ユーザーとデバイスの「組み合わせ」が正しいかどうかを検証するためのプロセスであり、まさに多要素認証なのです。

以下のビデオでは Microsoft Passport の仕組みと、それを使用した Active Directory ドメインの構成、そして Azure Active Directory とのハイブリッドなアイデンティティ プロバイダーの設計について解説しています。

日本マイクロソフト株式会社
エバンジェリスト
安納 順一 ＜Blog＞