Windows 11には、より強力なセキュリティ機能として「拡張サインインセキュリティ(ESS)」が搭載されている。この機能は、バーチャリゼーションベースセキュリティ(VBS)を活用し、Windows Helloの顔認証や指紋認証をさらに安全にする。
ESSを有効にするには、特定のハードウェア要件を満たす必要があり、TPM 2.0やDevice Guardの有効化、さらには対応するバイオメトリクスドライバが必要となる。
拡張サインインセキュリティ(ESS)とは何か
拡張サインインセキュリティ(ESS)は、Windows 11に搭載された新しいセキュリティ層である。これは、Windows Helloの顔認証や指紋認証と連携して動作し、ユーザーのデータを保護するために通信チャネルのセキュリティを強化する技術である。ESSは、仮想化ベースのセキュリティ(VBS)を利用し、通常のバイオメトリクス認証に追加のセキュリティ対策を加えることで、データの不正アクセスや改ざんを防ぐ。
ESSが機能するためには、専用のハードウェアやドライバが必要であり、対応するデバイスのみで利用可能である。従来のセキュリティ機能に比べ、ESSは攻撃者がデバイスや認証データに物理的にアクセスすることをより困難にする。Windows Helloの一部機能であるため、ESSは企業向け環境で特に効果的に動作し、ユーザー認証プロセスの安全性を高める。
このように、拡張サインインセキュリティは、個人データの保護を強化しつつ、利便性を損なわないよう設計されたセキュリティ技術であり、Windows 11のセキュリティ戦略の重要な要素となっている。
ESSを有効化するためのハードウェア要件
ESSを有効化するためには、いくつかのハードウェア要件を満たしている必要がある。まず、仮想化ベースのセキュリティ(VBS)が必須であり、これにより認証データを隔離された安全な領域で処理できる環境が提供される。次に、Trusted Platform Module(TPM)2.0が必要で、これによりハードウェアレベルでのセキュリティを確保する。
さらに、Device Guardの有効化も求められる。Device Guardは、システムが信頼できるコードのみを実行するように制限するセキュリティ機能で、ESSの安全性をさらに高める役割を果たす。加えて、ESSに対応したバイオメトリクスセンサーおよびそのドライバも必須である。これにより、顔認証や指紋認証といった生体認証が強化され、認証データの安全なやり取りが実現する。
最後に、SDEV(Secure Devices)ACPIテーブルが構成されたデバイスファームウェアが必要であり、これはハードウェアメーカーによって設定される。このすべての要件を満たすことで、ESSを有効化し、より安全なサインイン体験を提供できる。
Windows 11でESSを有効にする方法
Windows 11で拡張サインインセキュリティ(ESS)を有効にするには、まずWindowsの設定画面にアクセスする必要がある。これには「Win+I」キーを使用するのが最も簡単な方法である。設定画面が開いたら、「アカウント」セクションに進み、「サインインオプション」を選択する。
次に「追加設定」へ進むと、「外部カメラまたは指紋リーダーを使ってサインイン」というオプションが表示される。このオプションを有効にすることで、ESSを動作させることができる。ハードウェアがESSに対応している場合、この操作だけでセキュリティが強化されたサインインが利用可能になる。
また、ESSを有効にするもう一つの方法として、レジストリエディタを使用する方法もある。レジストリパス「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinBio」にアクセスし、「SupportPeripheralsWithEnhancedSignInSecurity」というDWORD値を0に設定すれば、ESSが有効化される。どちらの方法でも、簡単にESSを設定できる。
ESSを確認または無効にする方法
ESSが有効かどうかを確認するには、Windowsの「イベントビューアー」を使用する。イベントビューアーを開き、「Applications and Services Logs」→「Microsoft」→「Windows」→「Biometrics」→「Operational」に進むと、ESSが正常に動作しているかどうかを確認できる。イベントID1108が表示されていれば、ESSが正しく機能していることを意味する。
ESSを無効にするには、再びWindowsの設定画面にアクセスし、同じ手順で「サインインオプション」に進む必要がある。そこから「外部カメラまたは指紋リーダーを使ってサインイン」オプションを無効にするだけで、ESSが無効になる。必要に応じて、レジストリエディタを使用して無効化することも可能である。
レジストリエディタでESSを無効にする場合、先ほどのレジストリパス「SupportPeripheralsWithEnhancedSignInSecurity」を1に設定することで、ESSが無効になる。このように、簡単な操作でESSの有効・無効を切り替え、システムのセキュリティ設定をカスタマイズできる。