エンタープライズID管理コラム

「認可」について正しく理解していますか?「認証」と「認可」の違いを整理しておこう〜数字で見るID管理2024

「認証」や「認可」というキーワードを聞く機会が増えています。このコラムでは、その意味や役割の違いを正しく理解するとともに、自社の業務やセキュリティ対策に活かす上でのポイントをご紹介します。

「認証」と「認可」の違いを整理しておこう

いまや多くの人が「認証」を日常的に行うようになりました。というのも、PCやスマートフォンなどを利用する際に、多要素認証や生体認証など知らず知らずのうちに「認証」を行うようになり、システム担当者も不可欠なものと認識するようになっていることでしょう。

一方、「認可」についてはどうでしょうか。一般的には「許可すること」を意味していますが、情報システム担当者にとっては「部長以上は重要ファイルへのアクセスを『認可』する」というように、組織運営やセキュリティ対策を考える際の用語の1つといえます。この「認可」の理解度について、主に情報システム担当者にアンケートにて質問したところ、次のような結果となりました。

※日本企業のID・アカウント運用実態調査2024

「認可」について、「深く理解している」は7.9%、「理解している」は28.5%、「概ね知っている」が36.5%、「聞いたことがある」は16.6%という結果となりました。「概ね知っている」まで含めると7割以上となり、多くの人がこの用語自体を知っているようです。

あらためて、この2つの用語を簡単に整理すると次のようになります。この機会に、両者の違いを正しく整理しておいてはいかがでしょうか。

認証(Authentication)

「誰(本人)であるかを確認する」こと。

  1. 例: Aさん本人であることを「認証」できたので、そのSaaSが利用できるようになった。
認可(Authorization)

「適切な権限でアクセスを可能な状態にする」こと。

  1. 例: Aさん本人と「認証」したSaaSで、一般業務に必要なファイルへのアクセスが「認可」された。
    ただし、重要ファイルへのアクセスは「認可」されていない。

具体例で見る「認証」と「認可」の役割の違い

次に、具体的に「認証」と「認可」がどのような役割なのか、ファイル共有サービスを利用する場合を例に見ていきましょう。

上図では、情報リソースである「保存フォルダ」へのアクセスを、「認証」と「認可」の組み合わせで制御しています。「認証」ではIDなどで本人であることを確認し、「認可」では情報リソースへのアクセス権を確認しています。「認証」と「認可」にはこのような役割の違いがあり、それぞれに必要となるID情報は、これまではアプリケーションごとに管理される場合が多くありました。

この「認証」をアプリケーションから切り出して統合管理する認証管理システム(SSO)を導入している企業が近年、増加しています。アプリケーションを複数利用している場合、それぞれの「認証」を統合管理し、多要素認証などを採用することでセキュリティ強化が進められるのがその理由の1つでしょう。加えて、ユーザーの利便性が向上することも挙げられます。

しかし、アプリケーションから「認証」を切り出すと、ID・アカウント更新をする際に、認証管理システムには「認証用ID 情報」を、アプリケーションには「認可用ID情報」と、別々に更新処理を行う必要が生じてしまいます。その結果、ID・アカウント運用の複雑化や管理漏れ、削除漏れなど、新たな課題を生み出しているのが実態です。いま、多くの企業が「統合ID基盤」構築に取り組む理由がここにあり、あらためて、「認可用ID情報」を棚卸しするとともに、「認証」と「認可」のあり方を考え直してみてはいかがでしょうか。


まとめ

今回は、「認証」と「認可」について、それぞれの意味や役割の違いを紹介しました。昨今、「認証用ID情報」の統合管理を多くの企業で進めていますが、「認可用ID情報」の管理方法も含めて、あらためて考える必要があるのではないでしょうか。

また、資料『日本企業のID・アカウント運用管理の実態 2024』では、本コラムで取り上げた「認可」の理解度に関するアンケート結果以外にも、さまざまなID・アカウント管理に関する調査結果や考察を紹介しています。ぜひ、下記よりダウンロードしてご一読いただき、業務に役立てていただければ幸いです。


本記事に関するアンケート結果を
さらに詳しく読むならこちら

数字で見る

日本企業の
ID・アカウント

運用管理の実態 2024

昨年に引き続き今回は、国内603企業を対象にID・アカウント運用管理の実態についてアンケート調査を実施、分析しました。