この記事の英語版を表示するには、[英語] のチェック ボックスをオンにしてください。また、テキストにマウス ポインターを合わせると、ポップアップ ウィンドウに英語のテキストを表示することもできます。
翻訳
英語

スマート カードの新機能

 

適用対象: Windows RT,Windows Server 2012,Windows 8

このドキュメントでは、Windows Server 2012、Windows 8、および Windows RT オペレーティング システムのスマート カードに関する新機能について説明します。

スマート カードと暗証番号 (PIN) との組み合わせは、信頼性が高く、コスト効果の高い 2 要素認証形式として、ますます利用されるようになっています。 所定の場所、適切な制御の下では、ユーザーはネットワーク リソースにアクセスするために、スマート カードを所有し、PIN を把握している必要があります。 2 要素が必要であるため、組織のネットワークに対する未承認のアクセスが行われる可能性は大幅に低下します。 スマート カードを使うと、次のような目的で、特に効率的にセキュリティを制御できます。

  • リモート アクセスなどのシナリオでの認証

  • ドキュメント署名などのシナリオでのデータ整合性

  • 暗号化を必要とするシナリオでのデータ信頼性

その他のシナリオ (重要なアプリケーションへのセキュリティ保護されたアクセスなど) での使用も、新しい世代のセキュリティ保護されたアプリケーションを展開する組織の増加に合わせて増加傾向にあります。

仮想スマート カードは、従来のスマート カードの機能をエミュレートしたものですが、多数の組織のコンピューター上にあるトラステッド プラットフォーム モジュール (TMP) チップを使うため、別個の物理スマート カードとリーダーを使う必要がありません。 仮想スマート カードと従来のスマート カードとの間には、技術的な相違点、機能的な相違点、セキュリティ上の相違点、コスト上の相違点があります。

仮想スマート カードは、エンド ユーザーにとっては、コンピューター上で常に使うことができるスマート カードです。 ユーザーが複数のコンピューターを使う必要がある場合、各コンピューターに対応する新しい仮想スマート カードをユーザーに発行する必要があります。 また、複数のユーザーでコンピューターを共有する場合は、ユーザーごとに 1 つずつの複数のスマート カードをホストできます。

従来のスマート カードと TPM 仮想スマート カードのセキュリティ レベルは同等です。 TPM が組み込まれているコンピューターを従業員が所有している限り、TPM 仮想スマート カードは、これ以外の機器のコストをかけることなく展開できます。 詳細については、「Understanding and Evaluating Virtual Smart Cards (仮想スマート カードの概要と評価)」を参照してください。

エンド ユーザーのために、Windows Server 2012 および Windows 8 のサインイン エクスペリエンスでは、スマート カード リーダーが接続されているかどうかを検出する機能が改善されました。また、最後に実行されたサインインまたはコンピューターのロック解除のためにスマート カードとパスワードのどちらが使われたかを検出する機能も改善されました。 スマート カードが事前に接続されていない場合にユーザーがスマート カードによるサインインのアイコンをクリックすると、スマート カードへの接続をユーザーに求めるメッセージが表示されます。 カードが接続されると、スマート カードの PIN を入力するためのダイアログ ボックスが表示されます。 ユーザーが自動的に表示されるサインイン オプションを使わない場合 (ユーザーのスマート カードが用意できていない場合など) は、もう 1 つの UI メッセージに表示される別のサインイン オプションから選ぶことができます。

スマート カード リーダーの検出ロジックは、適切な場合にだけスマート カード サービスが実行されるように追加されました。Windows Server 2012 および Windows 8 のスマート カード サービス (scardsvr) は、ユーザーがスマート カード リーダーを接続すると自動的に開始され、ユーザーがスマート カード リーダーを取り外し、他のスマート カード リーダーがコンピューターに接続されていない場合は自動的に停止します。 スタートアップ時に、前にコンピューターに接続されていたリーダーが現在はシステムに接続されていない場合、スマート カード サービスは自動的に開始されます。 スマート カード リーダーがコンピューターに接続されていない場合、スマート カード サービスへの最後の API 呼び出しから 1 分経った時点で、サービスは自動的にシャットダウンします。 コンピューターにリーダーが一度も接続されたことがない場合、サービスは自動的に開始されません。

Windows Server 2012、Windows 8、および Windows RT では、カード上で何も操作が行われないままトランザクションがカード上で保持される時間が 5 秒を超えると、カードはリセットされます。 これは前のリリースの動作から変更されています。

この動作の詳細については、「SCardBeginTransaction function (SCardBeginTransaction 関数)」を参照してください。

Windows RT でのスマート カードのサポートには、次の要素が含まれます。

  • スマート カード リーダー

    Windows RT で使用できるのは、USB で接続され、USB Chip/Smart Card Interface Devices (CCID) 仕様をサポートするスマート カード リーダーのみです。 このようなスマート カード リーダーには、Windows RT に付属している USB CCID 仕様のスマート カード リーダー クラス ドライバーを使用する必要があります。

  • スマート カード

    Windows RT で使用できるのは、Generic Identity Device Specification (GIDS) 標準または Personal Identity Verification (PIV) 標準をサポートするスマート カードのみです。 これらの仕様に基づいたカードのクラス ドライバーは、Windows に含まれています。

Windows 8 では、新しい種類のデスクトップ アプリケーションがいくつかサポートされます。 開発者がスマート カードのセキュリティ上の利点を必要とするアプリケーションを作成する場合は、次の要件に対応する必要があります。対応しない場合、アプリケーションで自動的にスマート カードを使用し、機能をサポートすることはできません。

  • AppContainer 内で実行されるアプリケーションでスマート カードを使うには、アプリケーション マニフェストに SharedUserCertificates 機能を含める必要があります。 この機能がないと、アプリケーションは認証、署名、または暗号化にスマート カードを使用することができません。 この機能の概要と、マニフェストにこの機能を含める方法については、「証明書ストアの機能を設定する」を参照してください。

  • Windows RT アプリケーションの場合、スマート カードのサポートは SSL クライアント認証に制限されます。 SSL クライアント認証にスマート カードを使用するサンプル アプリケーションについては、「バンキング用 Windows ストア アプリ: コード チュートリアル」を参照してください。

表示: