ADVERTISEMENT
「つい、はい」が招く情報漏洩。認証プロンプトを制御して共有PCを安全に保つ
不特定多数の社員が入れ替わりで使用する共有PCや、出張先の共用端末でMicrosoft Teams(Microsoft 365)にサインインする際、画面に『サインインを維持しますか?』というメッセージが表示され、対応に困ったことはないでしょうか。これは、次回からパスワード入力なしでログインできるようにするための利便性機能ですが、共有PCにおいては、次にそのPCを使う他人に自分のチャット内容やファイルへのフルアクセスを許してしまう、極めて危険な「セキュリティホール」となります。
このプロンプトは技術的に「KMSI(Keep Me Signed In)」と呼ばれ、ブラウザのストレージに長期間有効な認証トークンを保存させるかどうかの分岐点です。組織のセキュリティ担当者や、共有環境で安全に作業したいユーザーにとって、この問いかけそのものを表示させない、あるいは強制的に「いいえ」の状態に固定することは、情報防衛の観点から必須の対応です。本記事では、ユーザーレベルでの回避策から、Microsoft Entra ID(旧Azure AD)を用いた組織レベルでの強制非表示設定、さらにはブラウザの仕様を利用した保護対策までを詳説します。
結論:共有PCでのサインイン維持を無効化する3つの手法
- 管理者による「KMSIの無効化」:Microsoft Entra管理センターの設定で、組織全体に対してこのプロンプトを表示させないよう強制する。
- ブラウザの「プライベートモード」徹底:InPrivateやシークレットウィンドウを使用することで、ブラウザを閉じた瞬間に認証トークンを物理的に破棄させる。
- 条件付きアクセスの活用:特定の共有端末からのアクセスに対してのみ、永続的なセッションを禁止するポリシーを適用する。
目次
1. 技術仕様:KMSI(サインイン維持)が書き込む「トークン」の寿命
「サインインを維持しますか?」で「はい」を選択したとき、ブラウザの内部では高度な認証プロトコルが走っています。これを知ることが、なぜ「いいえ」を選ぶべきかの技術的根拠となります。
永続クッキーとセッションクッキーの差異
・セッションクッキー(「いいえ」の場合):ブラウザのメモリ上に一時的に保持されます。ブラウザを完全に閉じると破棄されるため、次に開いたときには再認証が必要になります。
・永続的クッキー(「はい」の場合):PCのストレージ(ディスク)に書き込まれます。Microsoft 365の場合、このトークンの有効期限はデフォルトで最大90日間(あるいはそれ以上)に設定されることが多く、ブラウザを閉じても、PCを再起動してもログイン状態が維持され続けます。
・PRT(プライマリ更新トークン):Windowsに職場アカウントを紐付けている場合、OSレベルでこのトークンが保持され、Teamsアプリやブラウザ間でシングルサインオン(SSO)が連動します。
エンジニアリングの視点では、KMSIを許可することは、PCという物理的なデバイスに対して「認証済み」というデジタルな刻印を残す行為です。共有環境では、この刻印が他人に利用されるリスクが常時存在します。
ADVERTISEMENT
2. 実践:組織全体で「サインイン維持」を非表示にする管理者設定
個々のユーザーの注意力に頼るのではなく、システム側でプロンプトそのものを出さないようにするのが最も確実な防衛策です。これはMicrosoft Entra管理センターで行います。
具体的な設定ステップ
- Microsoft Entra 管理センターに特権管理者でサインインします。
- 「ID」 > 「ユーザーインターフェース」 > 「会社のブランド」を選択します。
- 使用しているブランド(通常は「既定」)のカスタマイズ画面を開きます。
- 「サインインを維持するオプションを表示する」という設定項目を探し、ここを「いいえ」に変更します。
- 設定を保存します。
この変更を適用すると、組織の全ユーザーに対し、サインインプロセス中にKMSIのプロンプトが表示されなくなります。これにより、ユーザーが誤って「はい」をクリックするリスクをシステムレベルで排除できます。
3. 技術的洞察:ブラウザの「終了時クリア」設定による自己防衛
管理者が設定を変更できない場合、または個人の判断でセキュリティを高めたい場合は、ブラウザ(Microsoft EdgeやGoogle Chrome)の機能を活用します。
ブラウザ設定によるトークンの自動破棄
- Edgeの「設定」 > 「プライバシー、検索、サービス」 > 「ブラウザを閉じるたびにクリアするデータを選択する」を開きます。
- 「Cookie と他のサイト データ」をオンにします。
- これにより、たとえKMSIで「はい」を選んでしまったとしても、ブラウザを終了する(右上の×を押す)だけで、保存された永続クッキーが強制的に消去されます。
これは、アプリケーション(Teams)側の設定に依存せず、プラットフォーム(ブラウザ)側でデータの永続性を否定するアプローチであり、共有PCにおいて極めて有効な二重の安全策となります。
4. 高度な修復:条件付きアクセスによる「セッション制御」
さらに高度なセキュリティが必要な組織では、Microsoft Entra IDの「条件付きアクセス」を使用して、より動的な制御を行います。
セッションの永続性の制御
・ポリシーの設計:「信頼されていないネットワーク(社外)」や「管理されていないデバイス」からのアクセスに対してのみ、『ブラウザー セッションを永続化しない』という制限を課します。
・技術的メリット:このポリシーが適用されている場合、サインイン画面でKMSIが表示されなくなり、さらにセッションのタイムアウト(例:1時間無操作で自動ログアウト)を強制できます。
利便性を維持したい自社専用PCと、厳格な保護が必要な共有・外部デバイスを「コンテキスト」で判別し、技術的に最適な認証強度を自動選択させる。これがモダンなゼロトラスト・ネットワークの考え方です。
5. 運用の知恵:「つい、クリック」を防ぐ物理的な運用ルール
設定という「ハード面」だけでなく、ユーザーの行動という「ソフト面」での配慮も、専門的な運用には欠かせません。
・InPrivateウィンドウのショートカット作成:デスクトップに「Teams用」として、あらかじめInPrivateモードで開くように設定したショートカット(例:`msedge.exe -inprivate https://teams.microsoft.com/`)を置いておきます。
・ステータス確認:共有PCを離れる際は、単にブラウザを閉じるだけでなく、必ずプロフィールのアイコンから「サインアウト」をクリックする習慣を徹底します。
サインアウト操作を行うと、サーバーに対してトークンの無効化(Revocation)信号が送られるため、クッキーを消し忘れたとしても、悪用されるリスクを大幅に下げることができます。技術と習慣をセットにすることで、初めて完全なセキュリティが完成します。
まとめ:共有PCでのサインイン設定・比較表
| 対策レベル | 具体的な手法 | セキュリティ強度と特徴 |
|---|---|---|
| レベル1:個人(注意) | プロンプトに「いいえ」と答える | 基本だが、ヒューマンエラーのリスクが高い |
| レベル2:個人(技術) | InPrivateモードの使用 | 中:終了時にデータが消えるため、比較的安全 |
| レベル3:組織(全体) | Entra ID で KMSI を無効化 | 高:全ユーザーの誤操作を物理的に封じる |
| レベル4:組織(高度) | 条件付きアクセスでのセッション制御 | 最高:デバイスの信頼度に応じて動的に制限 |
Teamsの「サインインを維持しますか?」という問いかけは、個人専用のデバイスにおいては『親切な機能』ですが、共有デバイスにおいては『致命的な罠』に変わります。このプロンプトの背後にある「永続トークン」の技術仕様を理解し、管理センターでの表示設定やブラウザの制御機能を正しく構成することで、共有PC利用に伴う情報漏洩のリスクを極限まで抑えることができます。システムをただ使うのではなく、利用環境(コンテキスト)に合わせて認証の強度を「再定義」すること。この一歩進んだセキュリティ意識こそが、安全なデジタルワークを支える基盤となります。
この記事の監修者
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。