目次
認証と認可は似ているように思われるかもしれませんが、アイデンティティおよびアクセス管理(IAM)の分野では明確に異なるセキュリティプロセスです。
認証は、ユーザーが本人の主張どおりの人物であることを確認します。認可は、そのユーザーにリソースへのアクセス許可を与えます。
認証とは?
認証とは、ユーザーが本人の主張どおりの人物であることを検証する行為です。これは、セキュリティプロセスの最初のステップです。
認証の例には、サーバー上の特定のファイルをダウンロードする許可を特定のユーザーに付与したり、個々のユーザーにアプリケーションへの管理アクセス制御を提供したりすることが含まれます。
認証プロセスは、次の手順で行われます。
- パスワード:ユーザー名とパスワードは、最も一般的な認証要素です。ユーザーが正しいデータを入力すると、システムはそのアイデンティティが有効であるとみなし、アクセス権を付与します。
- ワンタイムPIN: 1つのセッションまたはトランザクションに対してのみアクセス権を付与します。
- 認証アプリ:アクセス権を付与するサードパーティ経由でセキュリティコードを生成します。
- バイオメトリクス:ユーザーは、指紋または網膜スキャンを使用して認証、システムにアクセスします。
システムによっては、アクセス権を付与する前に、複数の要素の検証を完了する必要があります。多くの場合、パスワード単体の機能を超えてセキュリティを強化するために、この多要素認証(MFA)要件がデプロイされます。
認可とは?
システムセキュリティにおける認可とは、特定のリソースまたは機能にアクセスする許可をユーザーに付与するプロセスです。この用語は、アクセス制御やクライアント特権と同じ意味でしばしば使用されます。
安全な環境では、認可は必ず認証の後に行われます。最初にユーザーが自分のアイデンティティが本物であることを証明し、その後に組織の管理者が要求されたリソースへのアクセス権を付与します。
Authentication vs. Authorization(認証 vs. 認可)
似たような用語ですが、認証と認可はログインプロセスにおける個別のステップです。IAMソリューションを正常に実装するためには、2つの用語の違いを理解することが重要です。
認証と認可の違いをわかりやすくするため、例えを使って説明します。
ある家族が休暇で留守の間、その家のペットを世話するために訪れた人が、施錠されたドアの前に立っている状況を考えてみましょう。この人物には、以下が必要です。
- 認証:この場合は、家の鍵です。施錠されたドアは、正しい鍵を持つ人だけが開けることができます。これは、システムが正しい資格情報を持つユーザーにのみアクセス権を付与する認証と同じことです。
- 認可:この場合は、家に入る許可です。家の中では、キッチンに入り、ペットフードを保管している食器棚を開けることができます。しかし、昼寝のために寝室に入る許可は与えられないでしょう。
この例では、認証と認可が連携しています。ペットシッターは家に入る権利を得ており(認証)、家の中では特定のエリアにアクセスできます。
認証
|
認可
|
実行すること
|
資格情報を検証する
|
アクセス許可を付与または拒否する
|
動作のしくみ
|
パスワード、バイオメトリクス、ワンタイムPIN、またはアプリを介する
|
セキュリティチームによって維持される設定を介する
|
ユーザーからの可視性
|
はい
|
いいえ
|
ユーザーによる変更の可否
|
部分的に可能
|
いいえ
|
データの移動
|
IDトークンを介する
|
アクセストークンを介する
|
システムは、これらの概念を同じ方法で実装します。したがって、IAM管理者が両方の活用方法を理解することが重要となります。
- 認証:選択した認証要件に応じて適切な資格情報を提供する場合、すべてのスタッフメンバーがワークプレイスシステムにアクセスできるようにします。
- 認可:部門固有のファイルへのアクセス許可を付与し、必要に応じて財務情報などの機密データへのアクセスを確保します。従業員が業務に必要なファイルに確実にアクセスできるようにします。
認証と認可の違いを理解し、両方を強力にサポートするIAMソリューションを実装します。データ侵害から組織を保護しながら、従業員の生産性を高めることができます。
Oktaを使用してアクセス許可を付与
Oktaライフサイクル管理は、ユーザーのアクセス許可を一目で把握できます。つまり、システムやツールに対するアクセス権の付与/取り消しを必要に応じて簡単に実行できます。一方、OktaアダプティブMFAを使用すると、選択した認証要素を支えるインフラストラクチャを保護できます。
たとえば、製造指示へのアクセスを特定のユーザーのみに許可し、続いてそのユーザーが企業の資格情報と音声認識の両方を使用して認証するように要求できます。
組織でIAMを合理化する機会は無限にあります。Oktaが企業と従業員の安全を維持する方法をご確認ください。