Windows Hello の生体認証ログインを使用すると、PIN やパスワード以外の方法で PC を保護するのは簡単です。ただし、すべての PC にそれを使用できるハードウェアがあるわけではなく、プライバシーがどれだけ約束されていても、指紋を保存したり Windows 10 で虹彩をスキャンしたりすることを望まないユーザーもいます。
Untethered LabsのGatekeeperワイヤレスセキュリティキーをご利用ください。このBluetoothシステムは、PCへのワンタッチログインとして機能し、2要素認証用のワンタイムパスワードコードを保存するパスワードマネージャーとしても機能します。
素晴らしい製品に聞こえますが、私の意見では、この製品は消費者向けにはまだ未熟です。元々は企業向けに設計されたものですが、Untetheredはそれを消費者市場向けに改良する代わりに、ストラップを持たない一般消費者向けに同じ製品を提供しています。結果として、Gatekeeperは家庭ユーザーにとっていくつかのトレードオフがあり、ほとんどの人にとって実用的なツールではありません。
まず、GatekeeperをYubikeyのようなデバイスの代替品と誤解しないでください。GatekeeperはウェブサイトへのFIDO2ワンタッチログインをサポートしていないため、二要素認証デバイスとしては機能が限られています。GatekeeperはYubikeyのような方法で情報を保存しないため、この状況は今後も変わらないかもしれません。重要な情報はすべてPC上で安全に保管されます。
システム
IDGGatekeeper クライアントのメインダッシュボード。
Gatekeeperは、Bluetoothキーフォブ「Halberd」、薄型USB Bluetoothセンサー、そしてGatekeeperクライアントソフトウェアという3つの主要コンポーネントで構成されています。また、ChromeとFirefox用のパスワードマネージャーブラウザ拡張機能も用意されています。
Halberd は CR2450、3 ボルト電池で動作し、Bluetooth センサーは PC から電源を供給されます。
Gatekeeperはデスクトップソフトウェア経由でログインを管理し、セットアップは比較的簡単です。唯一の問題は、デスクトップソフトウェアが企業向けの言語を使用していることです。一部の人にとっては理解しにくいかもしれません。例えば、ローカルアカウントとドメインアカウントのどちらかを選択する必要があります。私たちのテストではどちらでも動作しますが、ほとんどのユーザーにとってローカルアカウントの方が使いやすいでしょう。
残りのセットアップは、PINを選択してHalberdをデスクトップソフトウェアに接続するだけです。Halberdは複数のPCで使用できますが、各PCにBluetoothセンサーが必要です。
これらが済めば、あとは準備万端です。Gatekeeperは、Windows 10のログイン画面に独自のユーザーアカウントを作成するという方法でログインを制御します。「表示される」というのは、設定アプリにユーザーアカウントは表示されないからです。いずれにせよ、最終的な見た目は同じです。
IDG設定で Gatekeeper のログイン要件を調整します。
Gatekeeper では、PIN による近接検出、近接検出による自動ログイン、Halberd を Bluetooth センサーにタッチしてログインするタッチ ログインなど、さまざまな方法でログインできます。
デフォルトでは、システムはPINによる近接検出を使用します。近接検出は非常に限定的であるため、自動ログインを有効にしている場合は、誤ってロック解除されることを回避できます。PCから約3.7~4.5メートル(12~15フィート)の距離に達すると、Gatekeeperがマシンをロックダウンします。
Gatekeeperは、Microsoft Windowsというよりはミッション・インポッシブルに近い、楽しいログイン方法です。だからこそ、一部の人には魅力的に映るかもしれません。Halberdのアイディアは、キーフォブを常に携帯しておくことで、他人がキーフォブなしでPCにログインするのを防ぐというものです。
問題は、Gatekeeperが通常のWindowsアカウントを使った通常のログインを阻止できないことです。GatekeeperデスクトップアプリにはWindowsアカウントを無効にする設定や、通常のWindowsログインに加えてHalberdを要求する設定がありますが、これらの機能はエンタープライズ顧客のみが利用可能です。もしかしたらこれは良いことかもしれません。なぜなら、Halberdを紛失したり、使えなくなったりすると、PCにアクセスできなくなるからです。Untethered Labsにこの件について問い合わせたところ、広報担当者は次のように回答しました。「Gatekeeperアプリケーションのコンシューマー版は、エンタープライズソリューションの主要機能を紹介することを目的としています。そのため、Gatekeeperのメリットを効果的にアピールできるよう、各種設定を最小限に抑えることにしました。」
全体的に、システムは非常にうまく機能しました。ただし、フルスクリーンゲームの実行中にPCから離れると近接ロックが作動しないという奇妙な現象が時折発生しました。また、PCを完全にシャットダウンした後、Gatekeeperのログインオプションが表示されないこともありました。そのため、この製品はPCを常にオンにしたままにしておく方に適しています。
しかし、Gatekeeperはセキュリティ対策としては不十分です。Halberdを使わずに誰かがPCにログインするのを実際に阻止するには、企業アカウントが必要です。つまり、このログイン方法は、家庭ユーザーにとって利便性を提供する程度のものに過ぎません。
パスワードマネージャー
IDGデスクトップ クライアントの Gatekeeper パスワード マネージャー。
Gatekeeperのパスワードマネージャーは2つの方法で動作します。ログイン情報はデスクトップクライアントと、ChromeおよびFirefoxのブラウザ拡張機能に保存されます。すべてのデータはAES-256で暗号化されており、キーフォブがないとアクセスできません。
パスワードマネージャーはシンプルに機能します。ブラウザ拡張機能は、サイトにログインする際にユーザー名とパスワードを取得し、必要に応じてログイン情報を自動入力します。専用のパスワードマネージャーにあるような、ドキュメントの保存やメモといった追加機能は備えていません。パスワードマネージャーはWebログイン情報のみを保存します。
また、ブラウザからログイン情報を抽出する機能はありませんが、上図の「資格情報」メニューの下部にある「資格情報の回復」オプションを使用して、ログイン情報を CSV ファイルにエクスポートするオプションはあります。
パスワードマネージャーの自動入力機能にはいくつか問題がありました。例えば、Proton Mailでは新規メールの「宛先」欄にユーザー名が自動入力されるなど、挙動がおかしくなっていました。また、Webインターフェースで記事を管理する際に、PCWorldのCMSログイン用のユーザー名が自動入力されることもありました。さらに、ブラウザでGatekeeperが有効になっていると、一部の銀行サイトがフリーズすることもありました。
IDGGatekeeper のパスワード マネージャー ブラウザ拡張機能。
Gatekeeperは、1PasswordやDashlaneのように新しいログイン情報を確実に保存してくれるわけではありません。保存してくれることはあっても、毎回ではないため、新しいログイン情報を手動で入力する必要がありました。
Gatekeeperのパスワードマネージャーの便利な点の一つは、ワンタイムパスワード(OTP)のシークレットも保存できることです。これにより、パスワードと2要素認証コードを同時に自動入力できます。パスワードマネージャーを使用するにはHalberdが近くにある必要があるため、攻撃者がHalberdとGatekeeperアプリケーションがインストールされたPCの両方にアクセスできない限り、アカウントに簡単にアクセスすることはできません。
個人向けパスワードマネージャー「Gatekeeper」の大きな問題は、クラウドコンポーネントがないため、ログイン情報やワンタイムパスワード(OTP)がPC間で転送されないことです。また、モバイルデバイスからパスワードにアクセスすることもできません。Untethered Labsにこの点について問い合わせたところ、「現時点では対応していませんが、近い将来検討する可能性があります。組織向けに包括的なアクセス管理ソリューションを提供することを目指しているため、エンタープライズ顧客に重点を置いています」との回答がありました。
価格と評決
Gatekeeper Halberd システムの価格は、キーフォブ、USB Bluetooth センサー、ソフトウェア、ストラップで 60 ドルです。
Gatekeeperシステムは、真の意味でのコンシューマー向けデバイスではないため、万人向けではありません。パスワードを安全にクラウドストレージに保存し、複数のデバイスでデータにアクセスできるようにするなど、消費者が期待する多くの利便性が欠けています。HalberdはWindows Helloを採用していないため、WindowsへのログインにはGatekeeperクライアントを使用する必要があります。Halberdによると、自動PCロックなどの機能はWindows Helloでサポートされていないとのことです。
Gatekeeper が他の Bluetooth や NFC デバイスと同様に FIDO2 で動作すれば良いのですが、Gatekeeper キーにはデータが保存されないため、それができない可能性があります。
結局のところ、企業導入以外でこのデバイスを本当に使えると思うのは誰なのか、という疑問があります。おそらく、主に、あるいは完全にPCユーザー(Macクライアントもあります)で、Windowsへのワンタッチログインの利便性と、二要素認証デバイスに組み込まれた限定的なパスワードマネージャーを求める人でしょう。私にとって、それは非常に狭いニッチな市場のように思います。
しかし、Untetheredが、より充実したパスワードマネージャー(少なくとも複数デバイスアクセスのためのクラウドストレージを備えたもの)、FIDO2サポート、そしてWindows Helloとの統合(自動ロックが失われるとしても)を備えたコンシューマーグレードのHalberdを開発すれば、検討する価値のある製品となるでしょう。現時点では、これをコンシューマー向けデバイスとして興味を持つ層はごくわずかです。
