このレッスンでも、
引き続きセキュリティの基礎として知っておきたいことを
学習していきましょう。
認証と認可
セキュリティ関連では、
「認証」「認可」という言葉を目にする機会が多いです。
似たような言葉なので同じものとして認識してしまうかもしれませんが、
実は内容は異なりますので、ここでしっかり理解しておきましょう。
認証
ITのセキュリティ分野における「認証」とは、
誰であるか(あるいは本人かどうか)をシステムが識別することです。
わかりやすい例では、Webサイトのログイン認証があります。
そのユーザーが誰であるかを表す「ID」と、
そのユーザーのみが知っている「パスワード」を入力することで、
本人であるかどうかをシステムが識別しているのです。
認証には他にも、「生体認証」や、「本人が所持しているもの」による認証があります。
生体認証については、後で詳しく学習します。
本人が所持しているものとは、
マイナンバーカードや運転免許証、パスポートなどがあります。
またこれらの認証を組み合わせて認証を行う、
「二要素認証」もあります。
例えばIDとパスワードの入力に加え、
SMSに送られるコードを入力するのが二要素認証です。
犯罪者はIDとパスワードのみならず、
SMSに送られるコードも入手しなければならないので、
リスクはかなり低くなります。
▶︎ポイント
認証には3つの要素があります。
- 知識要素(IDとパスワード、母親の旧姓など)
- 本人所持の要素(運転免許証など)
- 生体要素
二要素認証とは、これらの要素を2つ組み合わせて認証するシステムのことです。
似たような言葉で「ニ段階認証」がありますが、
二段階認証とは、同種の要素を組み合わせて行う認証のことです。
例えば知識要素である、ID/パスワード+秘密の質問などがこれにあたります。
認可
認証は、本人であるかどうかを確認することでしたが、
本人であることが認められたとしても、
全てのサービスを利用できるわけではありません。
そのユーザーが利用できるサービスをチェックすることが、
「認可」です。
よくある例では、
プレミアム会員なら全てのサービスが利用できるが、
一般会員は一部のサービスしか利用できないといったケースです。
ショッピングサイトなどで、
ユーザーを「認証」した後に、
そのユーザーが利用できるサービスのアクセス権を確認、制御します。
それが「認可」です。
つまり、システムに登録している
それぞれのユーザーに合わせたサービスを提供するのが、
「認証」と「認可」となります。
次のレッスンでは、
生体認証やワンタイムパスワードなどについて解説します。
