認証と認可という言葉は、同じ意味として使われることがあります。ですが、これらは組織をサイバー攻撃から保護する際に使用される別々のプロセスを意味します。情報漏洩の発生頻度が増え、対象範囲が拡大し続けている中、認証と認可は機密性の高いデータが相応しくない人物の手に渡らないようにする第一の防衛線となります。そのため、強力な認証方法と認可方法は、あらゆる組織のセキュリティ戦略全体で重視されるべき要素です。

認証と 認可の比較

では、認証と認可の違いとは何でしょうか。簡単に言ってしまえば、認証はその人物が何者なのか検証するプロセスであり、一方で認可は特定のユーザーがアクセス権を持つアプリケーション、ファイル、データは何かを検証するプロセスです。例えば、航空会社が搭乗を許可すべき人物を特定する必要がある状況では、最初のステップとして搭乗者が名乗った通りの人物なのか身元を確認します。搭乗者の身元を確定できた場合、次のステップとして、搭乗者が利用できる特別なサービスがないか検証します(ファースト・クラスの搭乗者であるか、VIPラウンジを利用できるかなど)。

デジタル世界においても、認証と認可は同様の目標を達成します。ユーザーが本当に申告通りの人物であるか検証する際には認証が行われます。この認証が確認されたら、様々なレベルの情報へのアクセスや特定機能の実行に関するユーザー権限を付与するための認可が、各ユーザー種別に設定されたルールに従って行われます。

認証認可
認証はユーザーが何者なのか検証認可はユーザーがアクセスできるリソースを判断
認証は、パスワード、ワンタイムPINコード、生体認証情報、ユーザーにより提供または入力されたその他の情報を利用することで機能認可は、組織によって実装および管理されている設定を利用することで機能
認証は、質の高いアイデンティティアクセス管理を実現する最初のステップ認可は常に認証の後で実行
認証はユーザーが確認できるもので、部分的にユーザーが変更可能認可はユーザーによる確認、変更不可
例:従業員はアイデンティティを証明することで、自身の給与情報や休暇日数、確定拠出型年金データなどを含む人事アプリケーションへアクセスできる例:アクセスレベルが認証されると、従業員と人事管理者は組織によって設定された権限に基づき異なるレベルのデータを利用できる

一般的な認証方法

ユーザー・アイデンティティは従来、ユーザー名とパスワードの組み合わせによって確認されてきました。今日の認証方法では、一般的に3種類の情報が利用されています。

  • 何を知っているか:最も一般的なのはパスワードですが、セキュリティの質問であったり、1度だけの利用やトランザクションを許可するアクセス権をユーザーに付与するワンタイムPINコードの場合もあります。
  • 何を持っているか:モバイル機器、アプリ、セキュリティトークン、デジタルIDカードなどを指します。
  • 何者なのか:指紋、網膜スキャン、顔認証などの生体認証データを指します。

多くの場合、この種の情報は複数レイヤーによる認証により組み合わせて使用されます。例えば、ユーザーがオンライン購入を完了するためにユーザー名とパスワードを求められる場合があります。それらの情報が確認されると、第2のセキュリティ層としてワンタイムPINコードがユーザーの携帯電話に送信されます。一貫した認証プロトコルに従い複数の認証方法を組み合わせることで、組織はセキュリティに加えてシステム間の互換性を同時に確保できます。

一般的な認可方法

認証済みとなったユーザーには、次いで認可制御が適用され、必要なデータへのアクセスや情報の追加もしくは削除といった特定機能の実行が、組織により付与されたアクセス権に基づいて許可されます。このようなアクセス権許可は、アプリケーション、OS、インフラ単位で割り当てられます。一般的な認可手法としては、次に示す2種類が挙げられます。

  • ロールベースアクセス制御(RBAC)この認可方法では、組織内でユーザーに割り当てられたロールに基づいて、情報へのアクセス権が付与されます。例えば、給与、休暇日数、および確定拠出型年金に関するデータなどの個人情報は、社内の全従業員が各自の情報を確認できるようにしながら、変更は許可しないようにする場合があります。一方で、人事管理者に対しては、全従業員の人事情報についてデータを追加、削除、および変更することができるアクセス権を付与することも考えられます。各個人のロールに従ってアクセス権許可を割り当てることで、組織はユーザーの生産性を維持しながら機密性の高い情報へのアクセスを制限できます。
  • 属性ベース・アクセス制御(ABAC)ABACでは、一連の指定属性を使用することでRBACよりも詳細なレベルでアクセス権許可をユーザーに付与します。これには、ユーザーの名前、ロール、所属部門、ID、セキュリティクリアランスなどのユーザー属性が含まれます。また、アクセス時間やデータの場所、組織が現在置かれている脅威レベルなどの環境属性を含むこともあるほか、リソースの所有者、ファイル名、データの機密性といったリソース属性を含む場合もあります。ABACはRBACよりも複雑な認可プロセスであり、アクセス権の制限をより強化できるよう設計されています。例えば、従業員の人事データに関する変更を組織に所属するすべての人事管理者に許可するのではなく、アクセス権を特定の地理的ロケーションや時間帯に制限することで、厳格なセキュリティ制限を維持できます。

強力な認証および認可戦略が必要不可欠

セキュリティ戦略を盤石なものにするには、所有するリソースを認証と認可の両方を用いて保護することが必要です。強力な認証および認可戦略の整備によって、組織はすべてのユーザーの身元と与えられている権限について一貫した形で検証できるようになり、重大な脅威をもたらす不正行為を防止できます。すべてのユーザーを正しく識別して必要なデータにのみアクセス権を持つよう徹底することで、情報漏洩によって企業の収益と評判が失われる今日、組織は生産性を最大化しながら、セキュリティを強化できます。

SailPointと認証プロバイダーの連携については、こちらをご覧ください

クラウドプラットフォームを適切に制御

お問い合わせはこちら

今すぐ問い合わせる