【DS検定】セキュリティ攻略⑧:混同注意!「認証」と「認可」の違い
情報セキュリティを学ぶ上で、避けて通れないのが「認証」と「認可」の区別です。言葉は似ていますが、役割は全く異なります。今回はその決定的な違いを整理します。
1. 【 問題 】
情報セキュリティにおける「認証」と「認可」の説明として、適切なものはどれでしょうか?
① 認証は「本人であるか」を確認することであり、認可は「特定の操作を許可する権限」を与えることである。
② 認証は「特定の操作を許可する権限」を与えることであり、認可は「本人であるか」を確認することである。
③ 認証と認可は同じ意味であり、どちらもパスワードの入力によって完了するプロセスを指す。
④ 認証はシステムの「可用性」を高めるための手続きであり、認可は「機密性」を高めるための手続きである。
2. 【 解答 】
正解: ①
3. 【 解説 】:認証(Authentication)と認可(Authorization)
それぞれの役割を、現実世界のイメージ(例えばホテルの宿泊)に例えて整理すると分かりやすくなります。
[ 1. 認証 (Authentication) ]
→ 「あなたは誰か?」を確認する
(例:ホテルのフロントで身分証を提示して、予約した本人だと証明する)
・ID / パスワード
・指紋、顔などの生体情報
・ワンタイムパスワード
[ 2. 認可 (Authorization) ]
→ 「あなたに何を許可するか?」を決める
(例:チェックイン後に渡されるルームキー。これによって予約した部屋だけに入れるようになる)
・閲覧権限、編集権限の割り当て
・管理者権限の設定
・特定のフォルダへのアクセス許可
--------------------------
★ 認証(Who are you?)→ 認可(What can you do?)の順番で処理されるのが一般的です。
→ 「あなたは誰か?」を確認する
(例:ホテルのフロントで身分証を提示して、予約した本人だと証明する)
・ID / パスワード
・指紋、顔などの生体情報
・ワンタイムパスワード
[ 2. 認可 (Authorization) ]
→ 「あなたに何を許可するか?」を決める
(例:チェックイン後に渡されるルームキー。これによって予約した部屋だけに入れるようになる)
・閲覧権限、編集権限の割り当て
・管理者権限の設定
・特定のフォルダへのアクセス許可
--------------------------
★ 認証(Who are you?)→ 認可(What can you do?)の順番で処理されるのが一般的です。
■ 間違いやすいポイント
「パスワードを入力したから認可された」と思いがちですが、パスワード入力自体は「認証」のプロセスです。その結果として、特定のページが見られるようになることが「認可」の結果です。
4. まとめ
「認証=本人確認」「認可=権限付与」と短く覚えてしまいましょう。試験で「アクセス権限の管理」という言葉が出たら認可、「IDとパスワードによる本人特定」が出たら認証を正解に選べるようにしておくのがポイントです。
PR
