本日はすばらしいニュースをお届けします。Gartner は 2 年連続で、2018 年アクセス管理マジック クアドラント (全世界) において、Microsoft を “リーダー クアドラント” に認定しました。これは、アクセス管理市場において Microsoft のビジョンの完全性と実行能力が認められたことによるものです。こちらの無料版レポートで、その理由をご覧ください。

Gartner によると、”リーダー” は、テクノロジ、手法、提供方法に関して期待される要件に対し、確実な実行力があることを証明します。さらに “リーダー” は、関連製品や類似製品の集まりの中で、アクセス管理がどのような役割を果たすかについての証拠も示します。

リーダー クアドラントで最高のビジョン

Microsoft は、2 年連続でリーダー クアドラントのビジョンの完全性で最高評価を与えられました。実行能力における Microsoft の評価が上がったことで、現在の組織が抱える問題を支援し、個人識別情報に関する将来のニーズに組織が備えることができるような戦略に基づいて実行することを、Microsoft がいかに重視しているかも示されます。

Microsoft では、最高レベルの ID とアクセス管理ソリューションの重要な機能として、条件付きアクセス ポリシーと ID に対する脅威対策を推進しています。Windows 10、Office 365、および EMS による機能豊富なエコシステムの一環として、Microsoft は製品全体のセキュリティ ポリシーを統合して、すべてのユーザー エクスペリエンスを把握、制御できるようにすることに注力してきました。さらに今年は、お客様からのご意見とフィードバックを取り入れ、エクスペリエンスを改善し、すべての ID を 1 か所で簡単に取得できるようにしました。Microsoft では、従業員、パートナー、お客様のための革新的かつ包括的な ID およびアクセス管理ソリューションを提供するべく努めていきます。

お客様やパートナーからのご意見とご支持がなければ、この部門のリーダーであり続けることはできませんでした。感謝いたします。

お読みいただき、ありがとうございました。

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

注:

このグラフィックは Gartner, Inc. によって、大規模な調査文書の一部として発行されており、文書全体のコンテキストで評価する必要があります。Gartner の文書は、Microsoft からの要求に基づいて入手できます。

Gartner は調査結果に記載された特定のベンダー、製品、サービスを推奨するものではありません。また、技術ユーザーに、高い評価を得たベンダーのみを選択するよう助言するものでもありません。Gartner の調査結果は Gartner の調査組織の意見で構成されており、事実の表明として解釈すべきではありません。Gartner は、明示または黙示を問わず、本調査の商品性や特定目的への適合性を含め、保証するものではありません。

The post ビジョンと実行力: Microsoft はアクセス管理で再び Gartner マジック クアドラントの “リーダー” に認定 appeared first on Microsoft 365 Blog.

今まで、パスワードを作るたびに、それを推測しようとする人々が必ず現れました。このブログでは、最近きわめて頻繁に目にするようになった一般的な攻撃について説明し、それから身を守るためのベスト プラクティスをご紹介します。この攻撃は、一般的にパスワード スプレーと呼ばれています。

パスワード スプレー攻撃を行う攻撃者は、使用されることの多いパスワードによるアクセスを大量のアカウントやサービスに対して試み、パスワード保護されている資産を入手しようとします。通常、これはさまざまな組織や ID プロバイダーが標的になります。たとえば、攻撃者は Mailsniper などの一般的に手に入るツールキットを使用して、複数の組織に属するすべてのユーザーを列挙し、すべてのアカウントでパスワード “P@$$w0rd” と “Password1”を試します。わかりやすく示すと、次のような攻撃が行われます。

この攻撃パターンは、個々のユーザーまたは会社の立場からはログインの失敗にしか見えないため、ほとんどの検出手法をすり抜けてしまいます。

攻撃者の立場からすると、これは数当てゲームのようなもので、非常によく使用されるパスワードがいくつか存在するということがわかっているという状態です。そのような非常によく使用されるパスワードを使っているアカウントは全体のわずか 0.5 から 1.0% にすぎませんが、攻撃者にとってみれば 1,000 回の攻撃につき数回を成功させることができれば、それで十分効果的なのです。

攻撃者はそのアカウントを使って、メールからデータを入手したり連絡先情報を取得したりでき、またフィッシング リンクを送り付けたり、またはそのままパスワード スプレー攻撃の標的グループを拡大したりできます。彼らは、最初の標的がどのような人物であるかはあまり気にしません。何らかの手掛かりを得て、それを利用していくのです。

ありがたいことに、Microsoft は既にこのような攻撃の威力を失わせる多くのツールを実装して利用可能な状態にしており、今後も追加されていきます。このまま読み進めて、パスワード スプレー攻撃を食い止めるために現在できること、そして今後数か月でできるようになることをご確認ください。

パスワード スプレー攻撃を阻止するための 4 つのステップ

ステップ 1:クラウド認証を使用する

クラウドでは、毎日 Microsoft のシステムに数十億件のサインインが行われています。Microsoft のセキュリティ検出アルゴリズムは、攻撃をその場で検出し、ブロックできます。このリアルタイムの検出および保護のシステムはクラウドから実行されるため、クラウドで Azure AD 認証 (パススルー認証も含む) を実行している場合にのみ使用できます。

Smart Lockout

クラウドでは、Smart Lockout を使用することにより、正当なユーザーによると考えられるサインインの試行と、攻撃者である可能性のあるサインインとを区別します。攻撃者をロックアウトしつつ、正当なユーザーは引き続き自分のアカウントを使用できるようにすることができます。これにより、ユーザーに対するサービス拒否を防ぎ、さらに執拗なパスワード スプレー攻撃は食い止めます。これは、ライセンスのレベルに関係なくすべての Azure AD サインインに、また、すべての Microsoft アカウントによるサインインに適用されます。

Active Directory フェデレーション サービス (AD FS) を使用しているテナントは、2018 年 3 月から Windows Server 2016 の AD FS で Smart Lockout をネイティブで使用できるようになります。Windows Update を通じて入手できるこの機能を使用することを検討してください。

IP ロックアウト

IP ロックアウトは、先ほど述べた数十億のサインインを分析して、Microsoft のシステムにアクセスする各 IP アドレスからのトラフィックの質を評価することによって機能します。この分析により、IP ロックアウト機能は悪意のある動作をしている IP アドレスを見つけ、サインインをリアルタイムでブロックします。

攻撃シミュレーション

Office 365 脅威インテリジェンスの一部としてパブリック プレビューが始まった攻撃シミュレーターを使用すると、お客様は自社のエンド ユーザーに対して攻撃のシミュレーションを実行して、攻撃が発生したときにユーザーがどのように行動するかを見きわめ、ポリシーを更新したり適切なセキュリティ ツールを確実に用意したりすることで、パスワード スプレー攻撃などの脅威から組織を保護できます。

今すぐ実行することを推奨:

1. クラウド認証をお使いの場合、対応は不要です。
2. AD FS、または別のハイブリッド シナリオを使用している場合は、2018 年 3 月の AD FS のアップグレードに合わせて Smart Lockout の使用を検討してください。
3. 攻撃シミュレーターを使用してセキュリティ体制を事前に評価し、調整を行います。

ステップ 2: 多要素認証を使用する

パスワードはアカウントにアクセスするための鍵ですが、巧妙なパスワード スプレー攻撃では、攻撃者は正しいパスワードを推測してしまいます。これを食い止めるには、アカウント所有者と攻撃者とを区別するために、パスワードを超えるものが必要です。これには次の 3 つがあります。

リスクベースの多要素認証

Azure AD Identity Protection では、上で説明したサインイン データを活用し、高度な機械学習およびアルゴリズムベースの検出と組み合わせて、システムにアクセスするすべてのサインインのリスク スコアを決定しています。大企業のお客様はこれを使用して、ユーザーまたはセッションに対してリスクが検出された場合にのみ第 2 要素を使って認証するように要求するポリシーを Identity Protection 内に作成することができます。これにより、ユーザーの負荷を軽減しつつ、攻撃者の侵入経路をふさぐことができます。詳細については、Azure Active Directory Identity Protection とはをご覧ください。

多要素認証の常時使用

さらにセキュリティを高めるために、Azure MFA を使用して、クラウド認証と AD FS の両方で常にユーザーに多要素認証を行うように要求することができます。この場合、エンド ユーザーは常にデバイスを手元に用意する必要があり、また、多要素認証を要求される頻度も高くなりますが、企業のセキュリティを最大限に高めることができます。組織のすべての管理者に対しては、これを有効にしてください。Azure の多要素認証についてはこちら、AD FS での Azure MFA の設定方法についてはこちらで詳細をご確認ください。

プライマリ認証としての Azure MFA

ADFS 2016 では、Azure MFA をパスワード不要の認証のプライマリ認証として使用することができます。これは、パスワード スプレー攻撃やパスワード窃取攻撃からの防御として優れたツールです。パスワードが存在しなければ、推測することもできないからです。これは、さまざまなフォーム ファクターを備えた、あらゆる種類のデバイスで大きな効果を発揮します。さらに、Azure MFA によってワンタイム パスコードが有効と確認された場合にのみ、パスワードを第 2 要素として使用することができます。パスワードを第 2 要素として使用することの詳細については、こちらをご覧ください。

今すぐ実行することを推奨:

1. Microsoft は、組織のすべての管理者、特にサブスクリプションの所有者とテナント管理者については、多要素認証の常時使用を有効にすることを強くお勧めします。ぜひ今すぐ実行してください。
2. それ以外のユーザーに対しては、最適なパフォーマンスでご利用いただくために、Azure AD Premium P2 ライセンスで使用可能なリスクベースの多要素認証をおすすめします。
3. または、クラウド認証と AD FS に対して Azure MFA を使用することもできます。
4. AD FS で、Windows Server 2016 の AD FS にアップグレードして、Azure MFA をプライマリ認証として使用します。特に、すべてのエクストラネット アクセスに対しては必ず行います。

ステップ 3: 全員が優れたパスワードを設定する

これらをすべて実行した上でも、パスワード スプレー防御の最も重要な部分は、すべてのユーザーが推測されにくいパスワードを使用することです。推測されにくいパスワードの作成方法をユーザーが知らないことは珍しくありません。Microsoft では、以下のツールによってこの点をサポートしています。

禁止パスワード

Azure AD では、パスワードのすべての変更およびリセットに対して、禁止パスワード チェッカーが実行されます。新しいパスワードが送信されると、絶対に使用するべきでない単語のリストとファジー比較が行われます (leet-speak から l33t-sp3@k への変換なども検出されます)。リスト内の単語と一致した場合、ユーザーは推測されにくいパスワードを選ぶように要求されます。Microsoft は、攻撃されやすいパスワードのリストを作成し、頻繁に更新しています。

カスタム禁止パスワード

禁止パスワードをさらに活用するために、テナントが禁止パスワードのリストをカスタマイズできるようにすることを予定しています。管理者は、自分たちの組織にとってなじみのある単語、たとえば有名な従業員や創立者、製品、場所、各地の名物などを選び出して、ユーザーのパスワードに使用されるのを防ぐことができます。このリストは全体のリストへの追加として適用されるため、どちらか片方だけを選ぶ必要はありません。この機能は現在、限定プレビューの段階で、今年中に公開される予定です。

オンプレミスでのパスワード変更での禁止パスワード

今春、Microsoft は、企業の管理者が Azure AD と Active Directory のハイブリッド環境で禁止パスワードを設定できるツールをリリースします。禁止パスワードのリストがクラウドからオンプレミス環境に同期され、エージェントがインストールされているすべてのドメイン コントローラーに適用されます。これにより管理者は、ユーザーがクラウドとオンプレミスのどちらでパスワードを変更しても、常にパスワードを推測されにくいものにすることができます。この機能は、2018 年 2 月に一部のお客様にプライベート プレビューとして公開され、今年中に一般公開される予定です。

パスワードに対する認識を改める

優れたパスワードの条件として一般に考えられているものの多くは、間違っています。計算上はうまくいくはずでも、実際にはユーザーの行動を予測しやすくなることもあります。たとえば、特定の文字種や定期的なパスワード変更を要求することは、どちらもパスワードのパターンを固定化することにつながります。詳細については、パスワード ガイダンス ホワイトペーパーをご覧ください。Active Directory と PTA または AD FS を組み合わせて使用している場合は、パスワード ポリシーを更新してください。クラウド管理アカウントを使用している場合は、パスワードを無期限に設定することを検討してください。

今すぐ実行することを推奨:

1. Microsoft 禁止パスワード ツールがリリースされたら、オンプレミスにインストールして、ユーザーが優れたパスワードを作成できるようにします。
2. パスワード ポリシーを見直し、パスワードを無期限に設定して、ユーザーが周期的なパターンに沿ってパスワードを作成することがないようにします。

ステップ 4: AD FS と Active Directory のさらに高度な機能

AD FS と Active Directory のハイブリッド認証を使用している場合、パスワード スプレー攻撃から環境を守るために実行できるアクションは他にもあります。

最初のステップ: ADFS 2.0 または Windows Server 2012 を実行している組織の場合、できるだけ早く Windows Server 2016 の AD FS に移行することを計画してください。最新バージョンは更新がより迅速に行われ、Extranet Lockout など、強力な機能を備えています。重要: Windows Server 2012R2 から 2016 へのアップグレードはとても簡単です。

エクストラネットからのレガシー認証のブロック

レガシー認証プロトコルには MFA を強制する機能がないため、最適なアプローチはエクストラネットからのレガシー認証をブロックすることです。これにより、パスワード スプレーの攻撃者がレガシー認証プロトコルに MFA がないことを悪用するのを避けることができます。

AD FS Web アプリケーション プロキシでの Extranet Lockout の有効化

AD FS Web アプリケーション プロキシで Extranet Lockout を実行していない場合は、実行される可能性のあるパスワードのブルートフォース攻撃からユーザーを保護するために、できるだけ早くこの機能を有効にする必要があります。

AD FS への Azure Active Directory Connect Health の展開

Azure AD Connect Health は、不正なユーザー名またはパスワードによるリクエストとして AD FS ログに記録された IP アドレスを取得し、さまざまなシナリオに関して追加的なレポートを作成して、サポート担当エンジニアが問い合わせを処理する際の参考になる知見を提供します。

展開するには、最新バージョンの AD FS 用 Azure AD Connect Health Agent をすべての AD FS サーバー (2.6.491.0) にダウンロードします。AD FS サーバーは、サポート技術情報 KB 3134222 がインストールされた Windows Server 2012 R2、または Windows Server 2016 上で実行する必要があります。

パスワードを使用しないアクセス方法

パスワードがなければ、推測されることもありません。パスワードを使用しない認証方法は、AD FS と Web アプリケーション プロキシで使用できます。

1. 証明書ベースの認証では、ユーザー名とパスワードで特定されるエンドポイントをファイアウォールで完全にブロックすることができます。AD FS での証明書ベースの認証について、詳細はこちらをご覧ください。
2. 上で説明したとおり、Azure MFA はクラウド認証と ADFS 2012 R2 および 2016 の第 2 要素として使用できます。しかし、AD FS 2016 ではこれを第 1 要素として使用して、パスワード スプレーの可能性を完全に排除することもできます。AD FS に Azure MFA を設定する方法については、こちらをご覧ください。
3. Windows 10 で使用でき、Windows Server 2016 の AD FS でサポートされている Windows Hello for Business は、ユーザーとデバイスの両方に結び付けられた強力な暗号化キーに基づいて、完全にパスワードなしのアクセスを、エクストラネットからのアクセスも含めて実現しています。これは、企業が管理する Azure AD 参加または Hybrid Azure AD 参加しているデバイスに加えて、設定アプリで [職場または学校アカウントの追加] を使用して参加した個人用デバイスでも使用できます。Hello for Business の詳細については、こちらをご覧ください。

今すぐ実行することを推奨:

1. 更新を早く受け取るために ADFS 2016 にアップグレードしてください。
2. エクストラネットからのレガシー認証をブロックします。
3. すべての AD FS サーバーに AD FS 用 Azure AD Connect Health エージェントを展開します。
4. Azure MFA、証明書、Windows Hello for Business など、パスワードなしのプライマリ認証方法を使用することを検討してください。

追加メリット: Microsoft アカウントの保護

Microsoft アカウントをお使いの場合:

• お客様は既に保護されています。Microsoft アカウントには Smart Lockout、IP ロックアウト、リスクベースの 2 段階認証、禁止パスワードなども組み込まれています。
• ただし、2 分ほど時間を取っていただき、Microsoft アカウントのセキュリティ ページにアクセスし、[セキュリティ情報の更新] をクリックして、リスクベースの 2 段階認証に使用されるご自分のセキュリティ情報を確認してください。
• アカウントのセキュリティを最大限に高めるために、こちらで 2 段階認証を常に有効にすることをご検討ください。

最高の防御は、このブログで紹介している推奨事項に従うことです。

パスワード スプレーはインターネット上でパスワードを使用しているすべてのサービスにとって深刻な脅威ですが、このブログで示したステップを実践すれば、この種の攻撃に対して最大限の防御が得られます。また、さまざまな種類の攻撃が似たような特徴を持っているため、有効な防御のヒントにもなります。お客様のセキュリティは常に私たちの最優先事項です。Microsoft は、パスワード スプレーなど、広がりを見せるさまざまな種類の攻撃に対し、新しく先進的な保護の開発に取り組み続けます。ここまでに示した方法を今すぐ採用し、インターネット上の攻撃者から身を守るための新しいツールが公開されていないか、小まめに確認してください。

この情報がお役に立てば幸いです。今回も、皆様からのフィードバックやご提案をお待ちしております。

お読みいただき、ありがとうございました。

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

The post Azure AD と ADFS のベスト プラクティス: パスワード スプレー攻撃からの防御 appeared first on Microsoft 365 Blog.

本日の記事では、気軽に楽しめる読み物として、デジタル ID の将来について今後期待される展望を簡単にまとめてみました。楽しんでいただければ幸いです。

Microsoft では、過去 1 年間にわたり、ブロックチェーン (およびその他の分散型台帳技術) を使用して新種のデジタル ID (個人のプライバシー、セキュリティ、コントロールを強化するために新規に設計された ID) を作成するためのさまざまなアイデアを検討してきました。その過程で学んだことや、培われたパートナーシップは、今後大いに役立つことが期待されます。本日はこの機会を利用して、私たちの考えや今後の方向性を皆さんにお伝えしたいと思います。このブログはシリーズ記事の一部であり、Peggy Johnson が投稿した、Microsoft が ID2020 イニシアチブに参加したことを発表したブログ記事に続くものです。Peggy の記事をまだお読みになっていない方は、まずその記事をお読みになることをおすすめします。

チームのプロジェクト マネージャーであり、分散型デジタル ID に関する検討を率いる Ankur Patel に、それをテーマとした議論を開始するよう依頼したところ、彼は以下の記事を投稿しました。この記事では、私たちがこれまでに学んだ中核的な教訓と、これらの教訓から生まれた、この分野を進展させるための投資を促進する際に利用している原則を共有することに重点が置かれています。

今回も、皆様からの感想やフィードバックをお待ちしております。

お読みいただき、ありがとうございました。

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

———-

こんにちは、皆さん。Microsoft Identity Division の Ankur Patel です。今回、ブロックチェーン/分散型台帳をベースとする分散型 ID について検討を重ねる中で学んだ教訓と、今後の方向性を皆さんにお伝えする機会を持てたことを非常に光栄に思っています。

私たちの見解

多くの方々が日々体験されているように、世界では今、グローバルなデジタル トランスフォーメーションが進んでおり、デジタルな現実と物理的な現実が現代的な生活様式として 1 つに融合され、その境目があいまいになってきています。この新しい世界では、新しいタイプのデジタル ID が必要です。それは、物理的な世界とデジタルな世界全体にわたって、個人のプライバシーとセキュリティを強化するものでなければなりません。

Microsoft のクラウド ID システムは既に、何千もの開発者や組織、何十億人ものユーザーの仕事や遊び、生産性の向上を支援するために利用されています。しかし、このような支援のために私たちができることはまだ数多くあります。今なお何十億人もの人々が、信頼できる ID を持たずに生活していますが、Microsoft は、子供の教育、生活の質の向上、新規事業の立ち上げなど、誰もが抱いている夢を叶えることができる世界を目指しています。

このビジョンを実現するには、個人が自分のデジタル ID のすべての要素を所有および管理できるようになることが必要不可欠であると考えています。人々が求めているのは、無数のアプリやサービスの使用条件にほぼ無条件に同意して、自分の ID データを多数のプロバイダーに拡散することではなく、ID データを保管して、それに対するアクセス許可を簡単に制御できる、安全で暗号化されたデジタル ハブです。

私たちは、自分で所有するデジタル ID、つまり、すべてのデジタル ID の要素を個人で安全に保管できるデジタル ID が必要です。  この自己所有 ID は、簡単に使用でき、ID データへのアクセス方法と使用方法を完全に制御できる必要があります。

このような自己主権型のデジタル ID の実現は、どんな企業や組織による ID 管理よりも意義深いことです。私たちは、お客様、パートナー各社、コミュニティと緊密に協力して、デジタル ID をベースとする次世代のエクスペリエンスを提供することに注力しており、この分野に大きく貢献している業界内の多くの方々と提携できることを楽しみにしています。

これまでに学んだ教訓

私たちは、分散型 ID について検討する過程で、つまり誰もがデジタル ID を所有および管理できるようにするとともに、充実したエクスペリエンスの実現、信頼性の向上、摩擦の軽減を目指した取り組みの中でさまざまな教訓を学び、それを基に最高の考えを導き出しました。その考えをここでお伝えしたいと思います。

1. ID の自己所有と自己管理。 現在、ユーザーは、無数のアプリやサービスを利用する際、個人情報の収集、使用、保持について包括的に同意することを余儀なくされています。データ侵害や個人情報の盗難は、手口が巧妙さを増し、その発生頻度も高まる一方です。このような状況から、ユーザーは自分の ID を自分で所有し、管理する方法を必要としています。分散型ストレージ システム、合意プロトコル、ブロックチェーン、さまざまな最新の標準を検証してみると、ブロックチェーンのテクノロジとプロトコルは、分散型 ID (DID) の実現に非常に適していることがわかりました。
2. 新規の設計によるプライバシーの確保。
   現代のアプリ、サービス、組織は、ID にバインドされたデータに基づいて、利便性が高く、予測可能で個別にカスタマイズできるエクスペリエンスを提供しています。そこで必要となるのは、ユーザーのプライバシーやユーザーによる制御を尊重しながらユーザー データを操作できる、安全で暗号化されたデジタル ハブ (ID ハブ) です。
3. 個人で獲得し、コミュニティで築き上げる信頼。
   従来の ID システムは、その大半が認証とアクセス管理を目的として構築されています。これに対して、自己所有 ID システムでは、確実性とコミュニティで信頼を確立する方法を、より重視しています。分散化システムでは、信頼は構成証明 (他のエンティティによって承認される主張) に基づき、構成証明は個人の ID のさまざまな面を証明するのに役立ちます。
4. ユーザー中心に構築されるアプリやサービス。
   現在、最も魅力的なアプリおよびサービスは、ユーザーの個人を特定できる情報 (PII) へのアクセス許可を得て、そのユーザー向けにカスタマイズされたエクスペリエンスを提供するものです。開発者は、DID や ID ハブを使用することで、より適格な構成証明セットにアクセスすることができ、法的リスクやコンプライアンスリスクを処理しながらそのリスクを軽減し、ユーザーの代わりにそのような情報を管理する必要がなくなります。
5. オープンで相互運用可能な基盤。
   誰もがアクセスできる信頼性の高い分散型 ID のエコシステムを構築するには、標準、オープン ソース テクノロジ、プロトコル、リファレンスを基盤として構築する必要があります。この 1 年間、Microsoft は、分散型 ID 認証ファウンデーション (DIF) に参加し、この課題に同じように意欲的に取り組んでいる個人や組織と協業してきました。現在、次の主要コンポーネントの開発に共同で取り組んでいます。
   

• 分散型識別子 (DID) – 分散型識別子の状態を記述する共通の記述に用いる共通の文書形式を定義する W3C の仕様。
  
• ID ハブ– メッセージ/意思伝達、構成証明管理、ID 固有の計算エンドポイントを備えた、暗号化された ID データストア。
  
• Universal DID Resolver – ブロックチェーン全体の DID を解決するサーバー。
  
• Verifiable Credential – DID ベースの構成証明をエンコードするための文書形式を定義する W3C の仕様。
  

6. 世界規模の実現に向けた準備。
   ユーザー、組織、デバイスの広大な世界をサポートするために、基盤となる技術は、従来のシステムと同程度の拡張性とパフォーマンスを備える必要があります。パブリック ブロックチェーン (Bitcoin [BTC]、Ethereum、Litecoin など) の中には、DID のルーティング、DPKI 運用の記録、構成証明の確立を行うための強固な基盤を提供するものもあります。一部のブロックチェーン コミュニティは、ブロックサイズの増加など、チェーン上での取引容量を増加させていますが、この方法は通常、ネットワークの分散化状態の低下を招き、システムが世界規模で 1 秒間に生成する取引が数百万件に達した場合、対処できなくなります。これらの技術的な障壁を克服するために、私たちは世界規模の DID システムの属性を維持しながら、これらのパブリック ブロックチェーン上で実行される、分散型レイヤー 2 プロトコルの開発に共同で取り組んでいます。
   
7. 誰でもアクセス可能。
   現在のブロックチェーン エコシステムは、依然としてその大半が初期の採用者です。初期の採用者は、キーの管理やデバイスのセキュリティ保護に時間や労力、エネルギーを費やすことを厭わない人たちです。このようなことは、主流となる人たちが行うべきことではありません。私たちは、キーの回復、交換、安全なアクセスなどの課題を克服して、キーの管理を直観的で絶対的かつ確実なものにする必要があります。
   

次のステップ

多くの場合、新しいシステムや大規模な計画は、ホワイトボード上では道理にかなったもので、すべての線がつながり、想定に間違いはないように見えます。しかし、製品チームやエンジニアリング チームは、出荷の段階になってほとんどのことを学びます。

現在、既に数百万のユーザーが日々 ID を証明するために Microsoft Authenticator アプリを使用しています。そのため、次のステップとして、この Microsoft Authenticator に分散型 ID のサポートを追加して試用する予定です。Microsoft Authenticator は、ユーザーの同意を得て、ユーザー エージェントとして機能し、ID データと暗号化キーを管理することができます。この設計では、ID のみがチェーン上にルーティングされ、ID データは、暗号化キーを使用して暗号化された、オフチェーンの ID ハブ (Microsoft 側からは見えない) に格納されます。

この機能を追加すると、段階的な同意を要求することにより、共通のメッセージング コンジットを使用してユーザーのデータを操作することができます。当初は、選択されたグループの DID 実装をブロックチェーン全体でサポートし、将来的に対象を追加していく予定です。

今後の予定

このような大きな課題に挑戦することに、身の引き締まる思いと期待感を覚えますが、これは Microsoft だけで達成できないことも承知しています。このため、今後も引き続き、アライアンス パートナー、分散型 ID 認証ファウンデーションのメンバー、さらに設計者、ポリシー立案者、ビジネス パートナー、ハードウェアおよびソフトウェア ビルダーから成るさまざまな Microsoft エコシステムによるサポートや情報提供を期待しています。さらに、最も重要なのは、最初のシナリオ セットのテストを開始した後にお客様から提供されるフィードバックです。

これは、分散型 ID への取り組みに関する最初の記事になります。今後の記事では、上記の重要な分野に関する概念実証および技術の詳細についてお伝えする予定です。

この挑戦的な取り組みにぜひご参加ください。

主要なリソース:

• Twitter で @AzureAD をフォローする
  
• 分散型 ID 認証ファウンデーション (DIF) に参加する
  
• W3C Credentials Community Group に参加する
  

お読みいただき、ありがとうございました。

Ankur Patel (@_AnkurPatel)

Principal Program Manager

Microsoft Identity Division

The post 分散型デジタル ID とブロックチェーン: 将来の展望 appeared first on Microsoft 365 Blog.

9 月の Microsoft Ignite で、Microsoft は、デジタル時代の Firstline Worker を支援するための新しいビジョンと共に Microsoft 365 F1 を発表しました。Microsoft 365 F1 は、Office 365、Windows 10、Enterprise Mobility + Security を統合した新しいプランで、すべての従業員を支援するための包括的でインテリジェントなソリューションを提供します。

企業が従業員にモダン ワークプレイスを提供するには、彼らの新たなニーズに応えるだけでなく、各地に分散する人員をつなぐ必要があります。さらに、従業員全員が、顧客の問題やビジネス上の課題の解決に向けて、創造、イノベーション、共同作業に取り組むために使用できるツールも提供する必要があります。最新のワークプレースを実現できれば、従業員が最大限の能力を発揮でき、イノベーションと行動の文化が創出され、経営陣から Firstline Workforce に至るまで、従業員全員が生産性を向上できます。

世界中の労働者の多くが、Firstline Worker です。その数は全世界で 20 億に上り、窓口や電話口、病院、工場、作業現場などで働いています。多くの場合、Firstline Worker は、顧客と最初に接し、会社のブランドを代表し、製品やサービスの実状を最初に目にする人々です。世界の巨大産業の多くを支えているのはこうした人々であり、企業がどんなに高い目標を掲げても、その存在がなければ目標達成は不可能です。

Microsoft は、直観的で、イマーシブかつ強力なエクスペリエンスを Firstline Worker に提供することが、テクノロジ業界の 1 つのビジネス チャンスであると考えおり、Microsoft 365、Dynamics 365、Microsoft IoT、Microsoft AI、Microsoft HoloLens、Windows Mixed Reality エコシステムなど、さまざまな企業向け製品により、独自の立場から、企業が Firstline Workforce の潜在能力を引き出すのを支援します。

Microsoft にとって、Microsoft 365 F1 の導入は、働く人々すべてをテクノロジで支援することにより、Firstline Workforce のデジタル変革を実現するという Microsoft のビジョンを前進させる大きな一歩となります。

Firstline Worker のエクスペリエンスに変革をもたらす

Microsoft 365 F1 には、あらゆる従業員がアイデアを形にできる機能やツールが含まれています。会社側との意見交換会をブロードキャストする Skype 会議ブロードキャストや Yammer で、文化やコミュニティを育てることにより、従業員が成功事例を見つけて全社で共有します。

Microsoft 365 F1 では、従業員のトレーニングとスキル向上も簡単になります。Microsoft Stream を使用すると、役割に応じた動的なコンテンツやビデオを共有できます。また、SharePoint を使用して、新人研修やトレーニングの資料を簡単に配信でき、社内の知識を安全な場所に集めて一元管理することができます。

Firstline Worker が 1 日の業務を管理するために専用アプリ Microsoft StaffHub や、毎日の活動を自動化できる Microsoft PowerApps と Microsoft Flow を活用すると、最前線の現場の生産性を高め、ビジネス プロセスをデジタル化できます。今回の Ignite で、StaffHub に、従業員が出退勤の時刻を記録する機能やタスクを追跡する機能などを新たに追加することも発表されました。また、チームワークを実現するためのハブである Microsoft Teams とメッセージング機能の統合、Yammer で社内ニュースを強調表示する機能などにより、従業員は StaffHub でいつでも簡単につながることができます。最後に、一般 API が利用可能になると、StaffHub から要員管理システムやその他のツールにアクセスできるようになります。

Microsoft 365 F1 は、IT 管理を効率化し、コストを最小限に抑えて、あらゆる従業員やエンドポイントのセキュリティを強化します。Azure Active Directory を利用して従業員の ID とアクセスを管理し、Microsoft Intune でデバイスを保護します。さらに、Windows 10 の新機能により、Firstline Worker のエクスペリエンス管理が容易になるほか、Windows Assigned Access 機能を使用してデバイスの用途を 1 つに制限したり、Windows AutoPilot で展開を自動化したりすることができます。

Microsoft は、総保有コストを最小限に抑えるために、Firstline Worker に効率的で安全なデバイスを提供することが重要であると考えています。今回の Ignite では、Windows 10 S を搭載した新しい法人向けデバイスが OEM パートナーの HP、Lenovo、Acer から発売されることも発表されました。価格は 275 ドルからで、クラウドベースの ID 管理のメリットを活用でき、最前線の職場環境に最適なデバイスとなっています。

Firstline Worker の支援というビジネス チャンスは大きな可能性を秘めており、この取り組みはまだ始まったばかりです。

Microsoft のビジョンの詳細については、新しい Firstline Worker のページをご覧ください。Microsoft 365 F1 に含まれる機能については、次の表を参照してください。

– Bryan Goode

The post 働く人すべてに Microsoft 365 を appeared first on Microsoft 365 Blog.