PINコードはなぜ安全？Windowsでさらに防御力を高める方法とは？

Windows 11では初期セットアップでWindows Hello PINの設定が要求される

　Windows 11へのサインインには、Windows Hello PINが使われており、手軽なサインインと高い安全性が両立されている。また、これを顔認証や指紋認証に変更可能なうえ、YubiKeyなどのセキュリティキーが使える場合は、それをサービスの認証に利用することもできる。Windows Helloを活用してみよう。

Windows Helloサインインが当たり前に

　Windows 11では、標準でWindows Helloを利用したサインインが設定されるようになっている。

　初期セットアップでPINの設定が要求されるうえ、アカウントの設定で「セキュリティ向上のため、このデバイスではMicrosoftアカウント用にWindows Helloサインインのみを許可する」が標準でオンになっており(従来のWindows 10でも2020年6月に更新されたバージョン2004以降で適用されていた)、意識することなくWindows Helloを利用する設定になっている。

標準で「セキュリティ向上のため、このデバイスではMicrosoftアカウント用にWindows Helloサインインのみを許可する」がオンになっている

　Windows Helloは、顔認証や指紋認証などの生体認証機能として知られているが、パスワードレスの高度な認証機能を提供する基盤で、仮想化ベースのセキュリティと組み合わせてPINや顔、指紋を利用した安全なサインインを提供する仕組みとなっている。

　Windowsのサインインやロック画面の解除にPINを何気なく利用しているが、これにより意識せず認証情報が保護されている。

なぜPINが安全か?

　PINは、多くの場合、4桁の数字となっており(4桁以上で英数字を含めることも可能)、パスワードに比べるとシンプルだ。手軽にサインインできるのはいいが、「安全」と言われても、即座には理解しにくいかもしれない。

　これを理解するには、例を考えるのが手っ取り早い。

　例えば、PINを使わずにMicrosoftアカウントのパスワードでサインインする場合を考えてみよう。この場合、外出先などでサインイン時の操作を盗み見られると、PCを盗まれていないとしても、リモートからMicrosoftアカウントのオンラインサービスなどに不正アクセスされてしまう可能性がある(実際には後述する2段階認証で保護されるので直ちに危険とは限らない)。

　しかし、サインインにPINを利用していれば、仮にPINを盗み見られたとしても、それを使って別の環境からMicrosoftアカウントにサインインすることはできない。また、ローカルに保存されるため、インターネット上で盗聴されたり、サーバーから漏洩したりする心配もない。

　PINはTPMに保存されている認証情報にアクセスするためのパスコードであり、PINそのものが認証情報として使われているわけではない。しかも、TPMの機能によって、ブルートフォース攻撃(総当たり攻撃)などからも保護される。

　つまり、PCとPINの両方を同時に盗まれない限り、安全性が確保されることになる。

　もちろん、悪意を持った第三者がPCごと手に入れれば、PINをリセットされる可能性はある。しかし、PINのリセットには、Microsoftアカウントでのサインインと、メールやSMS、認証アプリなどを使った2段階認証が要求される。

　普段からPINを利用していれば、そもそもMicrosoftアカウントのパスワードが盗み見られる可能性を低くできるし、2段階認証用のデバイスが手元にあればそれを阻止できることになる。

PINはリセットが可能

ただしリセットにはMicrosoftアカウントでのサインインと2段階認証が必要になる

　では、2段階認証用のスマホも盗まれれば……。と、まあ、心配し出すとキリがないわけだが、要するに、Windows Hello PINを利用することで、こうした障壁を多くし、パスワードそのものが露出する機会を減らすことで、安全にPCを使えるようになるわけだ。

生体認証ならPIN漏洩の心配もない

　前述したように、Windows Helloは手軽で安全なサインイン方法を提供するが、PCとPINの両方を同時に失うと無力になる。

　そこで活用したいのが、顔や指紋を利用する生体認証だ。PCにWindows Helloに対応した赤外線カメラや指紋リーダなどのデバイスが搭載されている場合は、PINの代わりに顔認証や指紋認証でWindowsにサインインできる。これにより、PINが漏洩する機会を減らすことが可能だ。

　ノートPCでは標準で搭載されている場合があるが、非搭載のPCでも、USB接続のカメラや指紋リーダを利用することで、顔認証や指紋認証を利用できる。

　例えば、筆者の手元には以下の製品があり、いずれもWindows 11のWindows Helloで利用できることが確認できた。ただし、Windows 11への対応が明記されていない製品もあるので、購入時はメーカーに問い合わせるのが確実だ。

• Lenovo 500 FHD Webcam
  
• Cisco Webex Desk Camera
  
• Mouse FP01(販売終了)

　設定方法は簡単で、［設定］の［アカウント］にある［サインインオプション］から［顔認証(Windows Hello)］や［指紋認証(Windows Hello)］を展開し、［セットアップ］をクリックして、画面の指示に従ってカメラに顔を向けたり、指紋リーダに指を当てて指紋を読み込ませたりすればいい。

　設定が完了すれば、顔認証の場合はサインイン画面でカメラに顔を向けるだけ、指紋の場合も指紋リーダに指を当てるだけでサインインできるようになる。

サインインオプションから［顔認証］の［セットアップ］をクリック

PINを入力後、セットアップ開始

しばらくの間カメラに顔を向ける

セットアップ完了

パスワードレスにすることも可能

　なお、Microsoftアカウントは、設定によってパスワードレスに設定することもできる。パスワードレスにした場合、クラウドサービスへのアクセスはMicrosoft Authenticatorを利用した認証に切り替わる。

　パスワードは完全に削除され、存在しなくなるため、アプリでの認証(IMAPでのメールアクセスなど)は、アプリパスワードへの置き換えが必要になるが、Windowsへのサインインに関してはWindows Hello顔認証や指紋認証を利用可能だ。

Microsoftアカウントのセキュリティ設定でパスワードを完全に削除することも可能

以後、サインイン時にAuthenticatorアプリを使ってサインインすることになる