ちょっと前にノートパソコンを新調したんですけど、10万円超えると割引になるクーポンがあって、価格調整のために内蔵カメラをIR(赤外線)付きに変えたんですね。
IRがついてると何が良いかというと、Windows Helloと呼ばれる顔認証機能が使えるんです。
これが全然期待してなかったのに思いのほか便利でした。メリットを箇条書きで書きます。
- パスワードもPINも入れなくてもカメラを見るだけで一瞬でログインできる。すげえ楽。
- 復帰時の面倒がないのでちょっと離席するときにもこまめに画面ロックする習慣がつき、セキュリティ的にもかなり良い
- OSのログイン/ロック解除時だけじゃなくて、パスワードマネージャも顔認証で起動できる。便利。
- メガネの着脱にも対応
- One DriveとかDropbox、Yahoo!Japanのログインとかにも使えるらしい(これは使ったことないが)
- こういうニュース(Microsoft、新規アカウントを「パスワードレス」設定へ)もあるので、今後パスワードレス化の流れで対応サービスが増えていくかも
気になる認証精度ですが、まずIRで3Dスキャンしてるので顔写真では通りません。
また自分の子供で試しましたが、顔が似ていても通りません。
(脅迫されてPCの前に座らされたら突破されますが、それはパスワードでも同じなので…。)
いろいろいいことづくめなのですが、やはり欠点もあります。
外出時ってマスクしてたり、ノートPCのカメラ角度が顔とずれてたりとかで、意外にスルッと認証通らないんですよね。いやそれめちゃめちゃ欠点やんけという話ですが……
実は、その欠点が全て無効化される環境があるんですよ。
それが自宅環境です。
固定モニタの上に外付Webカメラを設置、それで顔認証するようにしたらめちゃめちゃ便利でした。
自分はフリーランスなので家ですが、組織のポリシー的に可能ならオフィス環境でも絶対快適になると思います。
もうこれなしでは生きていけない。自宅Windows Hello、激おすすめです。
…とここまでが本題でした。以下は導入方法などの情報です。
目次
顔認証用カメラ
さっきも書きましたが、顔認証にはIR付きのカメラが必要です。なのですが外付けのWebカメラだと対応製品がめちゃめちゃ少ないです。
Amazonで最安だとエレコムのこれ
5000円くらいですが、Webカメラとしてのスペックはそこまでではないのでちょっと割高感もあり。
写りにもこだわりたくて顔認証もしたいという人は、Ciscoのやつもありますが……
正直ここまでの金額出すなら、好きなWebカメラ使ってIR用は別に買って2台体制にした方がいいのでは?という気がします。
で、その「IR用に別に買う」って思ったときに、Aliexpressだともっと安価なものもあります。
価格は変動するので執筆時。これはカメラのスペック的には全然良くないので、メインのWebカメラとしてはおすすめしません。
セキュリティ目的のものに安い中国製品を使うのに不安がある人もいると思いますが、ネットワーク製品でないこと(よくバックドアが話題になるのはネットワークカメラのほう)と、ソフトウェア的にもMicrosoft純正のドライバを使用するようなので、一般的なWebカメラ以上の振る舞いをするのは難しいのではないかなと思います。あくまで自己責任ですが。(実はノートPCやタブレット内蔵用のカメラ部品を流用しているという噂があります)
とはいえ2000円程度の差額なのでエレコムでもいいと思います。
また、2017年とかの古い機種は後述する拡張スプーフィング対策が使用不可な場合があるようなのでおすすめしません。
Windowsの設定
導入後、設定方法についても書いておきます。まずWindowsのログインの設定です。
タスクバーの検索欄に「Hello」と入力→「指紋認証サインインを設定する」が出てくるのでクリック→顔認識(Windows Hello)→セットアップ
そうするとカメラが起動して、枠が出てくるので自分の顔を映します。自分の顔の上にシュワシュワが表示されたのち、顔データが登録されます。
眼鏡をかけて実行した場合は、そのあとに「精度を高める」というリンクが出てくるので、眼鏡を外して再度実行した方がよいようです。
完了するとサインインオプションの画面がこうなります。
「顔認識保護を強化する」は拡張スプーフィング対策という機能で、過去に発見された脆弱性対策が含まれます。使い勝手はそのままセキュリティレベルが上がるのでチェックしたほうが良いです。
ここまでできたら試しにWinキー+Lで端末をロックしたのち、顔認証をしてみましょう。一瞬でロック解除できて感動すると思います。
めちゃめちゃ便利です。
パスワードマネージャの設定(Bitwardenの例)
パスワードマネージャを使っている人も多いと思いますが、ブラウザを起動しなおすたびに毎回マスターパスワードを入れるのが面倒じゃないですか?場合によっては二段階認証も出てくるし。
特に自分はWebの仕事で動作確認用によくシークレットモードを使うので、新しいウィンドウ開くたびに認証しなおすのがとても苦でした。
これもWindows Helloと連動することができます。
以下はパスワードマネージャにBitwardenを使っている場合の設定方法です。これかなりわかりにくかったので、参考にしてください。
デスクトップアプリの設定
ブラウザアドオンで使っている人も、顔認証を使う場合はデスクトップアプリをインストールする必要があります。
https://bitwarden.com/ja-jp/download/
ちょっと下にスクロールするとここからDLできます。
特別な理由がなければStandard Installerでいいんじゃないでしょうか。
インストールできたら起動してログインし、ファイルメニューから「設定」を開きます。
「Windows Helloでロック解除」の項目があるのでチェックします。
下の2つの項目がわかりにくいので説明すると、認証を求められるタイミングって「アプリ起動時」「タイムアウト後のロック解除時」の2種類があるんですね。その前者、アプリ起動時にWindows Helloでの認証を求める(上)、またはパスワードでの認証を求める(下)かを選択できます。なのですが、上をチェックしていなくてもアプリ起動時にWindows Helloは出てくる気がするので、上のチェックボックスの存在意義はよくわかりません。
顔認証を設定することでロック解除が容易になるので、ついでにデフォルトで「再起動時」になっている「保管庫のタイムアウト」に制限時間を導入するとよりセキュアな感じになります。
さてここまではあくまでデスクトップアプリの起動時の設定です。
ブラウザアドオンと連動するにはさらに設定が必要です。
このあたりを全部チェックしました。ブラウザアドオンとの通信を許可し、デスクトップアプリが常駐するようにします。(ブラウザアドオンから顔認証をする際にデスクトップアプリが起動している必要があるため)
ブラウザアドオンの設定
ブラウザアドオン側では、以下の設定をします。ChromeとFirefoxで設定しましたが、どちらも同じです。
- 右下の方にある「設定」を押す
- アカウントのセキュリティ→生体認証でロック解除、の順に進んでいきます
- アプリとの通信の許可をリクエストされるので許可します
- ここも「保管庫のタイムアウト」を設定するとよりセキュアです
アプリ側設定によっては認証が一度表示されます。これで設定完了です。
以降、ロック解除時に「Windows Helloでロック解除」が選択できるようになります。選択するとデスクトップアプリがポップアップして、
こんな感じで承認を求められます。
顔認証があるからといって、ワンクリックで起動!というわけではなくて、数クリックは要る感じですね。とはいえパスワード入れるためにキーボードとマウスを行ったり来たりしなくて済むのでかなり楽です。
トラブルシューティング
設定作業の途中で、顔認証時にこのような画面になり、PINの入力を求められるようになってしまいました。
これ説明がなくてわかりにくいのですが、目のアイコンが白目になっているときは顔認証に失敗しています。
このときは顔認証に何度か(3回?)失敗したため、ロックされて顔認証が利用不可になっていたようでした。
Windows Helloの設定を再度やったら顔認証が通るようになりました。
以上です。ぜひ顔認証で快適かつセキュアなPC環境を。
