クラウド大手、米マイクロソフトの次の一手が見えてきた。セキュリティーでは「パスワードレス」や「コンフィデンシャルコンピューティング」を推進し、ゼロトラストネットワークの取り組みを強化する。次期サーバーOSのWindows Server 2022は、オンプレミス(自社所有)環境とクラウドの融合を進める。データセンター内部では「液浸サーバー」が稼働し始めた。セキュリティーやハードウエアの技術開発に注力するマイクロソフトの最新動向をひもとこう。

 ゼロトラストに続くセキュリティー注目技術は「パスワードレス」と「コンフィデンシャルコンピューティング」だ。米マイクロソフトの最近の動きからは、そんな傾向が浮かび上がる。

 同社は2021年3月にIDプラットフォームである「Azure Active Directory(AD)」において「パスワードレス認証」の一般提供を始めた。

図 Azure Active Directoryのパスワードレス認証の仕組み
図 Azure Active Directoryのパスワードレス認証の仕組み
パスワード無しでログオン
[画像のクリックで拡大表示]

 パスワードレス認証とは文字通り、パスワードを使用しない認証手法だ。ユーザーはWebアプリケーションなどにログオンする際にIDだけを入力し、パスワードは入力しない。代わりにスマートフォン向け認証アプリ「Microsoft Authenticator」やWindowsパソコンの生体認証機能「Windows Hello for Business」、FIDO2規格に対応したセキュリティーキーを使って認証する。

 例えばAuthenticatorを使う場合、ユーザーがWebアプリにIDを入力すると、スマホのAuthenticatorアプリにログオンに関する通知が送られる。ユーザーがスマホアプリで「承認」をタップし、指紋認証や顔認証などで本人確認を済ますと、Webアプリへログオンできるようになる。

 マイクロソフトはこれまでも自社サービスである「Microsoftアカウント」などにパスワードレス認証を実装していた。今回、IDプラットフォームであるAzure ADにも展開した。これによって、ユーザー企業は社内業務システムの認証基盤にAzure ADを使用すれば、社内業務システムへのログオンでパスワードレス認証を実現できるようになった。

 マイクロソフトでAzure ADのプロダクトマーケティング担当ディレクターを務めるイリーナ・ネチャエワ氏は2021年3月に開催した自社イベント「Microsoft Ignite 2021」の基調講演で「脆弱なパスワードは企業の防衛システムにおける最も脆弱な穴になる」と指摘した。ユーザー企業がどれだけ厳重に認証システムを防御しても、ユーザーが同じパスワードを他のシステムでも使い回せば、他のシステムからパスワードが漏洩しかねない。

 それに対してパスワードレス認証では、認証サーバーにユーザーのパスワードや生体認証データを登録する必要が無い。ユーザーの本人確認をするのは認証アプリなどの認証器であり、認証サーバーには認証器が生成した公開鍵だけを登録する。ユーザーのログオン時には、認証サーバーと認証器が公開鍵暗号方式による電子署名を使用して互いの正当性を検証する。

 パスワードを使わないので、パスワードが流出する危険は無い。しかもユーザーが他のシステムで使用するパスワードなどが流出しても影響を受けない。マイクロソフトのネチャエワ氏は「パスワードレス認証は最も強力な認証手段だ」と強調した。

 IDプラットフォームでは米オクタが既にパスワードレス認証を実装していた。日本でユーザーが多いAzureADが追従することで、日本企業にもパスワードレス認証が広がりそうだ。

 コンフィデンシャルコンピューティングに関してはMicrosoft Azure部門のCTO(最高技術責任者)であるマーク・ルシノビッチ氏が2021年3月15日(米国時間)にブログで、米アドバンスト・マイクロ・デバイセズ(AMD)との連携による新機能「コンフィデンシャル仮想マシン」を発表した。