【Windows】認証の試行回数制限を設けて不正なログインを遮断する手順

業務中に不正ログインへのセキュリティ対策を強化したいと考えるビジネスマンは少なくありません。

パスワードの推測攻撃やブルートフォース攻撃は、アカウントが乗っ取られる大きなリスクとなります。

この記事では、Windows 11の認証試行回数制限を設定し、不正なログイン試行を遮断するための具体的な手順を解説します。

設定を適用することで、アカウントのセキュリティを大幅に向上できます。

不正ログイン対策としての認証試行回数制限の重要性

認証試行回数制限とは、Windowsへのログイン時にパスワードを間違えた回数が一定数を超えた場合、そのアカウントを一時的にロックするセキュリティ機能です。

この機能の主な目的は、ブルートフォース攻撃や辞書攻撃といった不正ログイン手法からアカウントを保護することにあります。

これらの攻撃は、プログラムが大量のパスワード候補を自動的に試行することで行われますが、認証試行回数制限を設定することで、攻撃者がパスワードを特定する前にアカウントをロックし、攻撃を中断させることができます。

アカウントロックアウトは、不正アクセスを未然に防ぐための重要な防御策の一つとして、セキュリティポリシーの一部として設定されます。

ブルートフォース攻撃とアカウントロックアウトの役割

ブルートフォース攻撃は、考えられるすべてのパスワードの組み合わせを試すことで、正解のパスワードを見つけ出そうとする攻撃手法です。

パスワードが単純であればあるほど、短時間で突破されるリスクが高まります。

アカウントロックアウトを設定することで、一定回数のパスワード試行失敗後にアカウントが一時的に使用不能になるため、攻撃者は大量のパスワードを試行できません。

これにより、不正なログイン試行を効果的に遮断し、システムへの侵入を防ぐ役割を果たします。

Windows 11で認証試行回数制限を設定する手順

Windows 11では、ローカルセキュリティポリシーエディターを使用して認証試行回数制限を設定できます。この設定はWindows 10でも同様の手順で実行できます。

1. ローカルセキュリティポリシーを開く
   WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。
   「secpol.msc」と入力し、Enterキーを押すか「OK」ボタンをクリックします。
2. アカウントポリシーに移動する
   「ローカルセキュリティポリシー」ウィンドウが表示されたら、左側のペインで「セキュリティの設定」を展開します。
   次に、「アカウントポリシー」を展開します。
3. アカウントロックアウトポリシーを選択する
   「アカウントポリシー」の下にある「アカウントロックアウトポリシー」をクリックします。
4. アカウントロックアウトのしきい値を設定する
   右側のペインで「アカウントロックアウトのしきい値」をダブルクリックします。
   「アカウントロックアウトのしきい値のプロパティ」ウィンドウが開きます。
   「アカウントがロックアウトされるまでに試行できるログオン失敗回数」の値を設定します。例えば「5」と入力し「適用」ボタンをクリックします。
   この設定により、パスワードを5回間違えるとアカウントがロックアウトされます。
   「適用」をクリックすると、「アカウントロックアウト期間とアカウントロックアウトカウンターのリセット時間も設定しますか」というメッセージが表示されます。「はい」ボタンをクリックして次の設定に進みます。
5. アカウントロックアウト期間を設定する
   自動的に開いた「アカウントロックアウト期間のプロパティ」ウィンドウで、「アカウントがロックアウト状態を保持する時間」の値を設定します。例えば「30」分と入力し「適用」ボタンをクリックします。
   この設定により、ロックアウトされたアカウントは30分後に自動的に解除されます。
6. アカウントロックアウトカウンターのリセット時間を設定する
   自動的に開いた「アカウントロックアウトカウンターのリセット時間のプロパティ」ウィンドウで、「アカウントロックアウトカウンターをリセットする時間」の値を設定します。例えば「30」分と入力し「適用」ボタンをクリックします。
   この設定により、最後に不正なログオン試行があってから30分経過すると、不正なパスワード入力回数のカウントがリセットされます。
   「OK」ボタンをクリックしてウィンドウを閉じます。
7. 設定の確認と適用
   すべての設定が完了したら、「ローカルセキュリティポリシー」ウィンドウを閉じます。
   設定をすぐに反映させたい場合は、コマンドプロンプトを管理者として実行し、「gpupdate /force」と入力してEnterキーを押します。これにより、グループポリシーが強制的に更新されます。

認証試行回数制限設定時の注意点とよくある誤解

認証試行回数制限は強力なセキュリティ機能ですが、設定方法や環境によっては予期せぬ問題を引き起こす可能性があります。以下の点に注意してください。

Windows Homeエディションでは設定できない

ローカルセキュリティポリシーエディターは、Windows Pro、Enterprise、Educationエディションでのみ利用できます。

Windows Homeエディションにはこのエディターが搭載されていないため、上記の手順で認証試行回数制限を設定することはできません。

Homeエディションで同様の機能を実現するには、より専門的な設定やサードパーティ製のセキュリティツールが必要になる場合があります。

安易な設定はアカウントロックアウトを引き起こす

「アカウントロックアウトのしきい値」を非常に低い値、例えば「1」や「2」などに設定すると、正当なユーザーであってもパスワード入力ミスですぐにアカウントがロックアウトされてしまいます。

これは業務の停止やユーザーの不便につながります。

通常は「3」から「5」程度の値が推奨されますが、組織のセキュリティポリシーやユーザーの利用状況に合わせて適切な値を設定することが重要です。

ロックアウトされたアカウントは、設定した「アカウントロックアウト期間」が経過するか、管理者が手動で解除するまで利用できません。

設定が反映されない場合の確認点

ローカルセキュリティポリシーの設定変更は、通常すぐに反映されますが、稀に反映されない場合があります。

その際は、コマンドプロンプトを管理者として実行し、「gpupdate /force」コマンドを実行してグループポリシーを強制的に更新してください。

また、企業環境などグループポリシーが適用されているPCでは、ドメインのグループポリシーがローカルポリシーよりも優先されるため、ローカルで設定した内容が上書きされる可能性があります。

この場合は、ドメイン管理者に相談し、適切なポリシー設定を依頼する必要があります。

アカウントロックアウトポリシーの主要設定項目比較

認証試行回数制限を構成する主要な3つの設定項目について、その意味と推奨される考え方を比較します。

項目	説明	推奨される設定の考え方	注意点
アカウントロックアウトのしきい値	アカウントがロックアウトされるまでに許可されるログオン失敗回数	3〜5回が一般的。セキュリティと利便性のバランスを考慮する	低すぎると正当なユーザーもロックアウトされる
アカウントロックアウト期間	ロックアウトされたアカウントがロックアウト状態を維持する時間	30分〜1時間程度が一般的。攻撃を阻止しつつ、ユーザーの復旧を可能にする	長すぎるとユーザーの業務に支障が出る
アカウントロックアウトカウンターのリセット時間	ログオン失敗回数のカウントがリセットされるまでの時間	アカウントロックアウト期間と同じか短く設定する	攻撃者がこの時間を利用してパスワードを試行し続ける可能性がある

まとめ

この記事で解説した手順により、Windows 11またはWindows 10で認証試行回数制限を設定し、不正なログイン試行からアカウントを保護できるようになりました。

アカウントロックアウトのしきい値、アカウントロックアウト期間、アカウントロックアウトカウンターのリセット時間を適切に設定することで、セキュリティレベルを向上できます。

この設定は、パスワードポリシーや監査ポリシーといった他のセキュリティ設定と組み合わせることで、さらに強固な防御体制を築くことが可能です。

定期的にセキュリティ設定を見直し、常に最新の脅威に対応できるようにしましょう。