ローカルコンピューターへログオンする際はIDとパスワードを入力するのが一般的だ。しかし、そのパスワードが漏えいする可能性を踏まえると更なるセキュリティシステムが必要である。そこでWindows 8では従来から使用されているデジタルID管理を強化し、一般的なWebサイトのID/パスワードを管理する機能を新たに備えることとなった。また、タブレット型コンピューターでの使用を踏まえ、ピクチャーパスワードという新たな方式を採用している。今週もMicrosoftの公式ブログに掲載された記事を元に最新の動向をお送りする。

デジタルIDでWeb認証を総合的に管理

そもそもデジタルIDとは、その情報が自分自身が発信したものであるかを示す身分証明書の一種である。デジタル署名もしくは電子署名と称することもあり、Windows OSではOutlook Expressが比較的若いバージョンからサポートしてきた。また、Windows Vistaでは、個人情報を管理する「Windows CardSpace」という機能も加わっている（図01～02）。

図01　Windows XP上のOutlook Express 6。デジタルIDを使用する設定ダイアログが用意されている

図02　Windows Vistaに搭載されたWindows CardSpace。個人情報をデジタルIDで管理する機能である

もともとMicrosoftは、以前から「InfoCard」という名でデジタルIDによる情報管理システムを進めており、それが世に出たのが前述のWindows CardSpace。個人の一意性を保証するデジタルIDを管理しつつ、Internet Explorerに代表されるアプリケーションからの呼び出しを想定していた。

Windows Vistaの商業的不振からか、当時のデジタルIDに対するニーズの少なさなのかはわからないが、Windows 7では「資格情報マネージャー」を搭載してくる。こちらは情報内容をリモートコンピューターやWebサービスの資格情報など項目によって切り分けることで、視認性と管理性も高まったことから、同機能を使っている方も少なくないはずだ（図03）。

図03　Windows 7の「資格情報マネージャー」。リモートコンピューターやWebサービスにログオンする際に必要となるアカウントやパスワード、資格情報を管理する

このデジタルIDを推進する背景にあるのが、IDとパスワードによる管理のぜい弱性である。公式ブログの記事によると、米国の平均的なユーザーは、約25個のオンラインアカウントを所有し、そこに用いるパスワードはわずか六種類。つまり、一つのオンラインアカウントをハッキングすれば、少なくとも四カ所のWebサービスに侵入できることになる。このように人間の記憶に頼るパスワードシステムの問題を回避するために、デジタルIDを推し進めているのだろう。

だが、デジタルIDとひも付けるIDとパスワードの運用は決して簡単ではない。パスワードに変わる技術として、使い捨てのパスワードを生成するワンタイムパスワードや、スマートカードといった技術が存在する。しかし、パスワードの使いやすさを超えることはできず、いまだ主流になる気配はない。

そこでWindows 8は従来のID/パスワードシステムに加えて、代替的な認証方法をサポートすることになった。もともとログインシステムの拡充はWindows Vistaの時点で行われており、サードパーティメーカーの認証デバイスを組み込むことが容易になる設計に変更されている。また、比較的クリティカルな手法を用いていたが、Windows XPでもスマートカードを用いた認証システムを実現している。

そのため、Windows 8における変更点は前述した資格情報マネージャーの拡充というのが一番わかりやすいだろう。新たに「Web Credential（資格情報）」というカテゴリを設け、WebサイトにおけるIDやパスワード、セキュリティに直結する一部の設定をコンテナ化することが可能になる（図04）。

図04　Windows 8の「Credential Manager（資格情報マネージャー）」。新たにWebサイトの資格情報の管理機能が加わっている（公式ブログより）

Internet Explorer 10と連動し、Websサイトがユーザー情報を求めた際にコンテナに保存したIDとパスワードを使用する事でシームレスな操作環境が提供される。また、以前のレポートで紹介したWindows Live IDを用いたログオン時は、この資格情報が同一のIDでログオンしたコンピューター間で同期されるため、パスワードを忘れてログオンできずに困ることはなくなるだろう。

このようにWindows 8では、従来のIDとパスワードを用いた方式よりもWindows Live IDを用いた方がメリットも大きくなるように感じるが、その一方で気になるのはWindows Live IDのセキュリティレベルと、パスワードを失念したときの対処法。前者は人が作り上げたものだけに完全と言い切ることはできないが、現時点でWindows Live ID情報を盗み取るワームの存在やハッキングに成功した話は聞いたことがない。

後者はWindows Live IDにおける回復手順と同じく、別の電子メールアドレスや異なる設定情報を用いることで自身の証明を行えるため、ログオンできなくなったコンピューターと異なる機器、スマートフォンなどが手元にあれば対処可能だろう。もちろん、Windows Live IDですら信用できないという方は従来のようにスマートカードを用いた認証システムにも対応しているので、セキュリティレベルを維持することは可能だ（図05）。

図05　スマートカードを用いたWindows 8へのログオンシーン（公式ブログの動画より）