【情報セキュリティ】誰?と何ができる?は違う!「認証」と「認可」|情報処理問題1000本ノック
情報セキュリティを学ぶ上で、避けて通れないのが「認証」と「認可」の区別です。言葉は似ていますが、役割は全く異なります。今回はその決定的な違いを攻略しましょう。
1. 【 問題 】:アクセス制御の基本
【 問題 】 情報セキュリティにおける「認証」と「認可」の説明として、適切なものはどれでしょうか?
① 認証は「本人であるか」を確認することであり、認可は「特定の操作を許可する権限」を与えることである。
② 認証は「特定の操作を許可する権限」を与えることであり、認可は「本人であるか」を確認することである。
③ 認証と認可は同じ意味であり、どちらもパスワードの入力によって完了するプロセスを指す。
④ 認証はシステムの「可用性」を高めるための手続きであり、認可は「機密性」を高めるための手続きである。
2. 正解:
正解: ① 認証は「本人であるか」を確認することであり、認可は「特定の操作を許可する権限」を与えることである。
3. 解説:「Who are you?」と「What can you do?」
この2つは独立した概念ですが、システムでは基本的に「まず認証して相手を特定し、その後に認可を行って権限を与える」という順番で処理されます。
■ 1. 認証(Authentication)
・目的:「あなたは誰(本人)か?」を確認する。
・手段:ID/パスワード、指紋や顔(生体認証)、ワンタイムパスワードなど。
■ 2. 認可(Authorization)
・目的:「あなたに何を許可するか(権限)?」を決める。
・手段:閲覧のみ/編集可能といった「アクセス権限(ACL)」の割り当て、管理者ロールの付与など。
★ 認証:フロントで身分証を見せて「予約した本人」だと証明する手続き。
★ 認可:渡された「ルームキー」。これにより、自分が予約した「301号室」のドアだけを開けられる(スイートルームや他人の部屋は開けられない)権限。
1. 理解のコツ: 英語のフレーズで覚えるのが最も確実です。認証は「Who are you?」、認可は「What can you do?」。この2文を頭に叩き込んでおけば、試験で絶対に迷わなくなります。
2. 試験対策の視点: 選択肢②のように、説明をあべこべ(逆)にして受験生を引っかける問題が定番です。また、近年は異なるWebサービス間で安全に「認可」の情報を渡すプロトコルである「OAuth(オーアース)」などの応用技術とも結びついて出題されます。
4. まとめ
「相手が誰かを確かめるのが認証」、「その相手に許可する行動を決めるのが認可」。これがアクセス制御の鉄則です。この2つが正しく組み合わさることで、初めて安全なセキュリティ環境が実現します。