平川陽大 
※本記事は2021年10月21日に投稿したものの再編集版です。
パスワードでログイン制御されているWebサービスにおいて、セキュリティの手段として「認証」と「認可」という概念があります。この両者は異なる概念ですが、似た言葉であるために混同されているケースが見受けられます。認証とは何か、認可とは何か、それぞれを切り離して考え、併用することの必要性や意味についてご説明します。
目次
認証と認可について動画解説!
認証とは
「認証」とは、通信の相手が「誰(何)であるのか」を利用者本人の確認・特定することです。英語では「Authentication」または「AuthN」と表記されます。
一例として以下のことが挙げられます。
・現実世界では、身分証明書によって人物を確認すること
・Webアプリでは、ログインやパスワードで利用者がだれか確認すること
認証の方法として、大きく3つの要素があります。
知識情報による認証(対象が知っていること)
知識情報による認証の例として、パスワード認証やPINコードが挙げられます。
近年では、Webサービスにログインする際に、IDとパスワードを入力することがほとんどです。 これは、利用者しか知りえないパスワードを入力することで、利用者本人であることを証明しています。
生体情報による認証(対象の特徴)
生体情報による認証の例として、顔認証や指紋認証、声紋が挙げられます。
現実世界でも、顔認証は多く用いられています。皆さんも人物を見た際に、相手の「顔」を見て、誰であるかを特定しています。また、運転免許証など顔写真がある身分証明書を提示して、証明する場合もこれに該当します。
最近では、パソコンやスマートフォンの生体情報を利用した「生体情報」の技術が普及しており、Webサービスのログイン時に要求されるケースも増加しています。
生体認証についてはこちらのブログ記事で詳しく解説しておりますので、そちらもご覧ください。
FIDOとは?従来の認証手法との違いを解説
「生体認証の種類はいくつ?それぞれのメリットと問題点を解説」
所持情報による認証(対象が持っているもの)
所持情報による認証の例として、電話番号を使ったSMS認証や身分証明書、鍵が挙げられます。
こちらは前述の二つよりも馴染みが少ないかもしれませんが、サービスを利用する際に、所有する電話番号にSMSが送られ、受信した情報を入力することでサービスを利用できる仕組みです。本人しか持ちえないものである携帯電話(電話番号)を利用して、本人を特定します。
もっと単純な例としては、家や車の鍵も所持情報による認証といえるでしょう。所持のみに頼る場合、盗難や紛失のリスクがあるため、情報セキュリティ分野では他の手段と組み合わせて利用されることも多いです。
従来は三つの方法のうち、一つの方法のみで認証してきました。しかし、近年では、より安全に、より確実に認証するため、二つ以上の要素で認証する「多要素認証(MFA:Multi-Factor Authentication)」が増えています。
多要素認証の詳細はこちらの記事をご覧ください。
「多要素認証(MFA)とは|メリット、デメリットについて解説」
認可とは
「認可」とは、特定条件下において、対象物(リソース)を利用可能にする(アクセス)権限を与えることです。英語では「Authorization」または「AuthZ」と表記されます。
例えば、Webにアクセスできなかった/社内ファイルにアクセスできなかったケースはありませんか?これはWebやファイルへのアクセス権限が、あなたに与えられていなったため、認可されなかったということになります。
認証と認可の使い分け
アクセス制御における認証と認可
アクセス制御とは、正規に承認された人を認証し、それ以外を遮断するセキュリティの基本機能です。
認証(ユーザーを識別する機能)を経てログインした後、それぞれの役割に応じたアクセス権限を与えるのが「認可」です。社内ネットワークで管理職のみが閲覧できる文書を決めたり、部門ごとに閲覧制限を設けたりするように、これら「認証・認可」の仕組みを総合してアクセス制御と呼びます。この組み合わせによって、利用できる端末やユーザーを限定し、それぞれに正しい権限が付与されるよう構築されています。
しかし、認証を終えたからといって、すべての情報にアクセスできるわけではありません。情報の重要度に応じて「閲覧は可能だが編集は不可」といったアクセスレベルを適切に制御するのが、認可の役割です。
近年注目されるゼロトラストを実現するためには、認証・認可が非常に重要になっています。
ゼロトラストについて詳しく知りたい方はこちらの記事をご覧ください。
「ゼロトラストモデルとは」
SNSで認証と認可を区別する理由
今度はFacebookのようなSNSで考えてみましょう。例えば、ログイン(認証)して写真を投稿する場合はどうなるでしょうか。もし、認証と認可が分かれていないと、「ログイン(認証)=すべての権限(すべての写真の編集・削除・加工)を利用できる」ことになります。もちろん、実際にはそうなっていません。写真を編集・削除するには、あなたがその写真の編集権限を認可した場合だけです。
このように、Webサービスにおいて、正しい権限をユーザーに与えるには「認可」が必要になるのです。
つまり、
(1)本人を確認してログインを許可(認証)
↓
(2)投稿や閲覧に関する適切な権限を付与(認可)
という構造になっています。
利用者情報の変更も同様です。認証されてサービスにアクセスしても、他人の利用者情報を閲覧したり、編集したりできたら大問題です。認可によって、権限を細かく設定することはサービス提供に欠かせないのです。
認証と認可は欠かせない
Webサービスの認証と認可が分かれていないとどうなるでしょうか。認証によって全ての権限がまとめて付与されるため、必要な権限だけを認可することができません。その結果、ユーザーに合わせた適切なサービス提供が難しくなるだけでなく、情報漏洩やハッキングのリスクも高まります。また、運用の中で権限を分ける必要が出てきた際、設計段階で認証と認可が分離されていないと、権限の追加や制限といった柔軟な運用が行えなくなります。
SNSでスパムアプリにアカウントを乗っ取られるのは、ユーザー自身が不適切な「認可」を与えてしまった例です。アプリの機能や信頼性を事前によく見極めなければ、こうした事故は防げません。SNS側は認証を代行していても、連携先の安全性まで保証しているわけではないのです。事故を防ぐためにも、認証と認可の違いを正しく理解することが重要です。
まとめ
「認証」と「認可」は日本語でも英語でも似た言葉ですが、違いをしっかり認識することが非常に重要です。認証はユーザーの本人確認、認可は正しいアクセス権限を付与するために必要になります。どちらか一方を強化するだけでは、セキュリティ対策にはなりません。認証と認可は異なるものであるため、どちらも強化する必要があります。
かもめエンジニアリングでは、認証・認可を強化することのできるさまざまなソリューションを提供しています。
詳細な概要やユースケースにつきましては、製品パンフレットをご覧ください。
KAMOME SSO (ID管理の運用負荷と業務システムのセキュリティリスクを大きく減少させる)
IDaaS「GMOトラスト・ログイン」 (クラウドサービスでシングルサインオンを実現する)
Keygateway C1 (T1の認証統合機能を包含しながら、VPNに代わるゼロトラスト型のリモートアクセス基盤を丸ごと提供するソリューション)
Keygateway T1 (既存のシステムやアプリケーションをSAML対応に変換し、シングルサインオン(SSO)や認証統合をスムーズに実現する)
また、貴社のシステム環境を踏まえたユースケースのご紹介や、必要なセキュリティ対策についてご説明する無料相談もご用意しております。導入を前提としたものではございませんので、情報収集の段階でもお気軽にご利用いただけます。
ご希望の際はぜひ下記のお問い合わせフォームよりご連絡ください。
事業・商品・サービスに関するお問い合わせ
製品に関するお問い合わせはこちら
※フリーメールでのお問い合わせは受け付けておりません。