OneLoginとOne Identityが協力してIAMを提供。詳細はこちら
認証と承認の比較
認証と承認は、管理者がシステムや情報を保護するために使用する、2つの重要な情報セキュリティプロセスです。認証は、ユーザまたはサービスのIDを検証し、承認は、それらのアクセス権を決定します。2つの用語は同じように聞こえますが、アプリケーションとデータを保護するために、別個の、しかし等しく重要な役割を果たします。その違いを理解することは重要です。この2つを組み合わせることで、システムのセキュリティが決定します。認証と承認を正しく構成しない限り、安全なソリューションにはなりません。
認証(AuthN)とは?
認証(AuthN)は、誰かまたは何かが、主張する通りのものであることを確認するプロセスです。テクノロジーシステムは一般的に、何らかの形式の認証を使用してアプリケーションやデータへのアクセスを保護しています。例えば、ユーザがオンラインのサイトやサービスにアクセスする必要がある場合、通常、ユーザ名とパスワードの入力が求められます。その舞台裏では、入力されたユーザ名とパスワードが、データベースにあるレコードと比較されます。入力した情報が一致すると、システムは有効なユーザであると見なし、アクセスを許可します。この例でのシステム認証は、正しいユーザ名とパスワードを知っているのが当人だけであることを前提としています。したがって、本人のみが知る情報の原則を使用して、ユーザを認証します。
認証の目的
認証の目的は、誰かまたは何かが、主張する通りの人物または物であるかどうかを検証することです。認証にはさまざまな形式があります。例えば、美術界には、絵画や彫刻が特定の作家の作品であることを確認するためのプロセスや機関があります。同様に、政府は通貨の偽造を防ぐために、さまざまな認証技術を使用しています。通常、認証は価値のあるアイテムを保護します。情報化時代では、システムやデータが保護の対象になります。
ID認証とは?
ID認証はユーザまたはサービスのIDを検証するプロセスです。この情報に基づいて、システムはユーザに適切なアクセスを提供します。例えば、コーヒーショップで働いているLuciaとRahulという2人の人物がいるとします。Luciaはコーヒーショップの店長で、Rahulはバリスタです。コーヒーショップでは、ウェイターやバリスタが準備のため注文を入力できるPOS(販売時点管理)システムを使用しています。この例では、POSは何らかのプロセスを使用して、従業員にシステムへのアクセスを許可する前にそのIDを確認します。例えば、ユーザ名とパスワードの入力を求めたり、指紋認証リーダーで親指を読み取らせたりするなどです。コーヒーショップはPOSへのアクセスを保護する必要があるので、システムを使用する従業員は、認証プロセスを介して本人確認をする必要があります。
一般的な認証の種類
システムは、ユーザを認証するためにさまざまなメカニズムを使用できます。一般的に、認証プロセスは本人確認をするために、本人の知識、所有物、身体的特徴を使用します。
パスワードとセキュリティ質問は、本人の知識のカテゴリに入る認証要素です。パスワードや特定のセキュリティ質問への答えは本人しか知らないはずなので、システムはこの仮定に基づいてアクセスを許可します。
次の一般的な種類の認証要素は、本人の所有物です。USBセキュリティトークンや携帯電話などの物理的なデバイスは、このカテゴリに分類されます。例えば、システムにアクセスすると、システムはSMSまたはアプリを介してワンタイムPIN(OTP)を送信します。それはその人が所有するデバイスであるため、本人であると確認できます。
最後の種類の認証要素は、本人の身体的特徴を使用します。生体認証メカニズムは、このカテゴリに入ります。指紋などの個人の身体的な特徴は固有なので、この要素を使用する本人確認は安全な認証メカニズムです。
アクセス制御と認証
アクセス制御と承認は同じ意味で使用されることがよくあります。多くの承認ポリシーはアクセス制御の一部を形成しますが、アクセス制御は承認のコンポーネントです。アクセス制御は承認プロセスを使用して、システムまたはデータへのアクセスを許可または拒否します。つまり、承認はユーザまたはサービスが何にアクセスできるかに関するポリシーを定義します。アクセス制御はこれらのポリシーを強制します。
認証とアクセス制御の比較には、認証と承認の比較がそのまま適用されます。認証はユーザのIDを検証し、アクセス制御はこのIDを使用してアクセスを許可または拒否します。