ゼロトラストが注目されていますが、その中で大切な要素はいくつかあります。ネットワーク構成や資産管理などが含まれますが、今回はその中でも「認証」と「認可」についてご紹介します。
「認証」と「認可」は同じ意味のように見えますが、実は異なります。これらの違いを理解している人は意外と少ないかもしれません。ここでは、身近な例を使ってこれらの違いを分かりやすく説明します。
目次
1. 認証とは
認証とは、アプリケーションが利用者本人であるかを検証するプロセスのことです。簡単に言えば、「あなたは本当にその人ですか?」と確認することです。
例えば、飛行機に乗るとき、航空会社は搭乗者が名乗った通りの人物なのかを確認します。これが認証です。パスポートやIDを見せることで、自分が本人であることを証明します。
他にも動画サービスなどを利用する際、ログイン時にユーザーIDとパスワード、ワンタイムパスワード、生体情報などを使って本人確認を行います。
これが認証です。
2. 認可とは
認可とは、認証後にITリソース(ファイルやフォルダなど)へのアクセス権限を条件に応じて許可するプロセスのことです。簡単に言えば、「利用者にどこまですることを許可するのか」を決めることです。
飛行機に乗るとき、本人確認(認証)が終わった後、搭乗者がビジネスクラスに座る権利があるのか、またはVIPラウンジを利用できるのかを確認します。これが認可です。つまり、特定のサービスを利用する権利があるかどうかをチェックします。
また、一般社員は自分の給与情報を閲覧できるだけですが、人事管理者は他の社員の給与情報も閲覧できるように設定できるというようなことが挙げられます。
3. 認証と認可の違い
以下に、「認証」と「認可」の違いは下記の通りです。
| 認証 | 認可 | |
|---|---|---|
| 機能 | ユーザーが本人であるか確認 | ユーザーがもつアクセス権限の範囲で利用を許可 |
| ITリソースへのアクセス | ユーザーIDとパスワード、ワンタイムパスワード、生体情報などを利用 | 認証後、組織がユーザーに付与したロール(役割)設定を利用 |
| 具体例 | 従業員は、自身の給与情報や休暇日数等を含む人事システムを閲覧できる | 人事管理者は組織によって設定された権限に基づき、異なるレベルのデータを利用できる |
4. 認可は必要なのか
認証によるユーザーや本人確認ができれば、認可の必要はないのではないか。と考える方もいるかと思います。では、「認可」機能を利用しないことのリスクはどのようなものがあるのか。それは情報漏えいです。
「認可」機能でアクセス権限を適切に制御しない場合、不正アクセスのリスクが高まり、誰でもどこからでもアクセスできるようになってしまいます。
例えば、「認可」機能を使って利用可能なデバイスを制限していない場合、私用のデバイスが情報を盗むウイルスに感染しているとします。そのデバイスでサービスにログインすると、ウイルスが機密情報にアクセスする可能性があります。これにより、情報漏洩が発生する危険性があります。「認可」機能を活用しないと、機密情報が漏洩するリスクが高まります。
また、クラウドサービスについては、社内、社外で同じアクセス権限でサービスを利用すると社内では人の目や様々なセキュリティ対策がありますが、社外から行う際には、セキュリティ対策を十分に行うことができないケースが存在しています。
そのため、認証だけではなく認可も一緒に行うことで、本人確認とその人の状況(環境など)に合わせた適切なアクセス権限の付与を行うで安心して業務を行うことができます。
弊社では、クラウドサービスに対する認可を行う製品CL-UMPを提供しています。
ユーザーの認証ではなく、ユーザーがどの環境からアクセスしてきたのかを自動で判別し、クラウドサービスのアクセス権限を自動で切り替える製品です。
詳細については、下記をご参照ください。