認証とは？認可とは？情シスが知っておきたいID管理の用語

近年、二要素認証などの仕組みを取り入れる企業が増えています。この「認証」とよく似た言葉に「認可」がありますが、それぞれの違いをご存知でしょうか。今回は、PCやシステムなどに安全にアクセスする際に考えたい「認証」と「認可」についてわかりやすく解説します。
なお、このnoteは主に中堅・中小規模の企業の新任情シスや兼任情シス向けの内容です。

 1．「認証」とは？…本人確認すること

私たちは日々、PCやスマートデバイスの起動の際、アプリケーション利用の際などに「認証」を求められています。認証とは簡単にいうと「本人であることを確認すること」です。本人であることを確認するためには、IDとともに「パスワード」「生体情報（顔や指紋など）」が用いられることが多くあります。

▲「認証」のイメージ

例えば、自宅の「鍵」はあなたしか持ち得ないもので、その鍵を持つことであなた自身と確認され、家に入ることができるとも言えます。しかし、もし鍵をなくしてしまったら、鍵を持つ第三者が家に入ることができてしまいます。企業の場合でも同様です。IDとパスワードのみで本人確認できてしまうと、IDとパスワードを知る第三者に不正アクセスを許してしまうかもしれません。

このような懸念があることから、昨今では複数の要素をもって本人である確認が行われるようになりました。これが二要素認証など「多要素認証」です。なお、認証のための要素として下記の３種類が挙げられます。「鍵」は「②所持情報」ということになります。

①知識情報：パスワード、PINコード、秘密の質問など
②所持情報：USBキー、スマートフォン、ICカード、ハードウェアトークンなど
③生体情報：指紋、虹彩、顔、手の平の静脈など

なお、「多要素認証」について詳しく知りたい方は、下記のnoteも参考にしてみてください。

2．「認可」とは？…利用できる権限があるのかを確認すること

一方、「認可」とは本人があるシステムやアプリケーション等を利用する時に、利用できるかどうか確認することを指します。つまり、利用権限を持っているか否かを確認することです。認可の例としては、課長以上は閲覧できる情報、人事部のみアクセスできるシステム、経理部のみ利用できるアプリケーション…というようなものが挙げられます。

▲「認可」のイメージ

 運転免許証を持っていてもすべての車両を運転できるわけではなく、普通免許では大型自動車やバスが運転できませんが、それと似ているかもしれません。

この認可情報は異動などでも変更になるので、春や秋などにはシステムやアプリケーションにおける利用権限の設定が集中することになります。手作業だとどうしても時間がかかりますし、ミスが発生する原因にもなります。異動の最新情報を持つ人事システムと連携して、各システムやアプリケーションの権限設定もスムーズに管理できることが必要と考えられています。

3．「認証」と「認可」、そして「ID」の関係を把握しておこう

これまで見てきた「認証」と「認可」がどのような関係か、そしてシステムにアクセスする上でID管理とどのように関係しているのかを具体的に考えてみましょう。

1. まず、部長であるAさんがシステムにアクセスする場合を考えてみましょう。

   1. 認証：「IDによる認証」が行われ、Aさん本人であることが確認されます。この時、IDに加えて、「パスワード＋顔や指紋（生体情報）」や「パスワード＋スマートフォン（所持情報）」で認証が行う、多要素認証が昨今増えています。

   2. 認可：Aさんは部長であり、「重要システム・一般業務のシステムにアクセスする権限を所有」という情報がIDに付与されています。Aさんは重要システム、一般業務のシステムいずれにもアクセスすることができます。

2. 次に、Bさんがシステムにアクセスする場合を考えてみましょう。

   1. 認証：「IDによる認証」が行われ、Bさん本人であることが確認されます。

   2. 認可：Bさんは「一般業務のシステムにアクセスする権限のみを所有（重要システムにアクセスする権限は所有していない）」という情報がIDに付与されています。Bさんは、一般業務のシステムへのアクセスは「認可」されます。一方で、重要システムにはアクセスは「認可」されません。

3. 最後に、すでに退職したCさんがシステムにアクセスする場合を考えてみましょう。

   1. 認証：Cさんはかつて所有していた〇〇社のIDを用いて認証を試みます。しかし、IDが失効されているため、システム利用者としては認証されませんでした。

   2. 認可：Cさんが持つIDが失効しているため、どのシステムの利用も認可されません。

このように、「認証」と「認可」に必要な属性情報を持つのがIDです。このIDを常に最新に保つことがID管理の重要な役割なのです。もし、上図のCさんが悪意を持っていた場合、ID情報が正しく管理されていなければ、容易にシステムへの不正アクセスを許してしまうことになるでしょう。事実、退職者IDによる情報漏えい被害も発生していますので、最新の人事情報と連携したID情報の管理が求められているというわけです。

おわりに

今回は、少し複雑な「認証」と「認可」の違いを紹介しました。「認証」と「認可」の役割を理解し、ID管理を考える際の一助としてみてはいかがでしょうか。
 
＜関連情報＞

日本企業のID・アカウント 運用管理の実態 2023 ｜ 情シスレスキュー隊

 また、ソフトクリエイトは「情シスレスキュー隊」にて、情シスに役立つ様々な情報を発信しています。こちらもぜひご覧いただき、情シス業務にお役立てください。

情報システム部の悩みや課題を解決する、情シスサポートメディア | 情シスレスキュー隊