Skip to content
お問い合わせ

【AAA】IT業界における「認証(Authentication)」と「認可(Authorization)」、「アカウンティング」の違い

By 

 ゼロトラストが注目されていますが、その中で大切な要素はいくつかあります。ネットワーク構成や資産管理などが含まれますが、今回はその中でも「認証」と「認可」、「アカウンティング」についてご紹介します。

 「認証」・「認可」・「アカウンティング」はそれぞれ頭文字から「AAA(トリプルエー)」という略称で呼ばれ、システムやネットワークにおけるアクセス管理の基本概念となっています。
 簡単に示すと以下の通りです。
・認証(Authentication):誰なのか
・認可(Authorization):何をしてよいか
・アカウンティング(Accounting):何をしたか


 特に「認証」と「認可」は一見似た意味のように見えますが、実は異なります。これらの違いを理解している人は意外と少ないかもしれません。ここでは、身近な例を使ってこれらの違いを分かりやすく説明します。

目次

  1. 認証とは
  2. 認可とは
  3. アカウンティングとは
  4. 認証・認可・アカウンティングの違い
  5. 認可の重要性と「CL-UMP」による課題解決

1. 認証とは

 認証とは、アプリケーションが利用者本人であるかを検証するプロセスのことです。簡単に言えば、「あなたは本当にその人ですか?」と確認することです。
 例えば、飛行機に乗るとき、航空会社は搭乗者が名乗った通りの人物なのかを確認します。これが認証です。パスポートやIDを見せることで、自分が本人であることを証明します。
 他にも動画サービスなどを利用する際、ログイン時にユーザーIDとパスワード、ワンタイムパスワード、生体情報などを使って本人確認を行います。
 これが認証です。

 

2. 認可とは

 認可とは、認証後にITリソース(ファイルやフォルダなど)へのアクセス権限を条件に応じて許可するプロセスのことです。簡単に言えば、「利用者にどこまですることを許可するのか」を決めることです。
 飛行機に乗るとき、本人確認(認証)が終わった後、搭乗者がビジネスクラスに座る権利があるのか、またはVIPラウンジを利用できるのかを確認します。これが認可です。つまり、特定のサービスを利用する権利があるかどうかをチェックします。
 また、一般社員は自分の給与情報を閲覧できるだけですが、人事管理者は他の社員の給与情報も閲覧できるように設定できるというようなことが挙げられます。

 

3. アカウンティングとは

  アカウンティングとは、「誰が・いつ・何を・どれだけ行ったか」を記録・可視化・検証する仕組のことです。
 実運用・監査・インシデント対応において最重要とも言えます。

 記録される情報はユーザーID等のアクセスログや操作ログ、利用時間やストレージ使用料が代表例です。
 不正発覚時や事故発生時の事後追跡や内部不正の抑止力になったり、監査・法令対応に必要だったりと、企業にとって重要な要素となっています。

 

4. 認証・認可・アカウンティングの違い

 「認証」と「認可」、「アカウンティング」の違いは下記の通りです。 

  認証 認可 認可
機能 ユーザーが本人であるか確認 ユーザーがもつアクセス権限の範囲で利用を許可  「いつ・誰が・何を・どれだけ利用したか」を記録・管理する 
ITリソースへのアクセス ユーザーIDとパスワード、ワンタイムパスワード、生体情報などを利用 認証後、組織がユーザーに付与したロール(役割)設定を利用

アクセスや操作の履歴をログとして取得・保存する
具体例 従業員は、自身の給与情報や休暇日数等を含む人事システムを閲覧できる 人事管理者は組織によって設定された権限に基づき、異なるレベルのデータを利用できる  従業員が人事システムにログインし、どの日時に、どの情報を閲覧したかが記録される 

 

5. 認可の重要性と「CL-UMP」による課題解決 

  認証によるユーザーや本人確認ができれば、認可の必要はないのではないか。と考える方もいるかと思います。では、「認可」機能を利用しないことのリスクはどのようなものがあるのか。それは情報漏えいです。
 「認可」機能でアクセス権限を適切に制御しない場合、不正アクセスのリスクが高まり、誰でもどこからでもアクセスできるようになってしまいます。

 例えば、「認可」機能を使って利用可能なデバイスを制限していない場合、私用のデバイスが情報を盗むウイルスに感染しているとします。そのデバイスでサービスにログインすると、ウイルスが機密情報にアクセスする可能性があります。これにより、情報漏洩が発生する危険性があります。「認可」機能を活用しないと、機密情報が漏洩するリスクが高まります。
 また、クラウドサービスについては、社内、社外で同じアクセス権限でサービスを利用すると社内では人の目や様々なセキュリティ対策がありますが、社外から行う際には、セキュリティ対策を十分に行うことができないケースが存在しています。
 そのため、認証だけではなく認可も一緒に行い、本人確認とその人の状況(環境など)に合わせた適切なアクセス権限の付与を行うことで、安心して業務を行うことができます。

 しかしながら「認可」については、実運用では多くの課題を抱えています。
 多くの現場ではフォルダやファイルごとに手作業で権限を付与しており、その結果、誰がどの情報にアクセスできるのか全体像を把握できなくなったり、「同一ユーザーでも社内外で権限を変えたい」といったニーズに対し、柔軟な対応が難しいケースがあります。

 弊社では、クラウドサービスに対する認可を行う製品CL-UMPを提供しています。
 ユーザーの認証ではなく、ユーザーがどの環境からアクセスしてきたのかを自動で判別し、クラウドサービスのアクセス権限を切り替え、認可を自動化する製品です。
 詳細については、下記をご参照ください。 

CL-UMPについて  
お問い合わせはこちら