いまや多くの人が「認証」を日常的に行うようになりました。というのも、PCやスマートフォンなどを利用する際に、多要素認証や生体認証など知らず知らずのうちに「認証」を行うようになり、システム担当者も不可欠なものと認識するようになっていることでしょう。

一方、「認可」についてはどうでしょうか。一般的には「許可すること」を意味していますが、情報システム担当者にとっては「部長以上は重要ファイルへのアクセスを『認可』する」というように、組織運営やセキュリティ対策を考える際の用語の1つと言えます。この「認可」の理解度について、主に情報システム担当者にアンケート^※にて質問したところ、次のような結果となりました。

※日本企業のID・アカウント運用実態調査2024

「認可」について、「深く理解している」は7.9％、「理解している」は28.5％、「概ね知っている」が36.5％、「聞いたことがある」は16.6％という結果となりました。「概ね知っている」まで含めると7割以上となり、多くの人がこの用語自体を知っているようです。

あらためて、この2つの用語を簡単に整理すると次のようになります。この機会に、両者の違いを正しく整理しておいてはいかがでしょうか。

次に、具体的に「認証」と「認可」がどのような役割なのか、ファイル共有サービスを利用する場合を例に見ていきましょう。

上図では、情報リソースである「保存フォルダ」へのアクセスを、「認証」と「認可」の組み合わせで制御しています。「認証」ではIDなどで本人であることを確認し、「認可」では情報リソースへのアクセス権を確認しています。「認証」と「認可」にはこのような役割の違いがあり、それぞれに必要となるID情報は、これまではアプリケーションごとに管理される場合が多くありました。

この「認証」をアプリケーションから切り出して統合管理する認証管理システム（SSO）を導入している企業が近年、増加しています。アプリケーションを複数利用している場合、それぞれの「認証」を統合管理し、多要素認証などを採用することでセキュリティ強化が進められるのがその理由の1つでしょう。加えて、ユーザーの利便性が向上することも挙げられます。

しかし、アプリケーションから「認証」を切り出すと、ID・アカウント更新をする際に、認証管理システムには「認証用ID 情報」を、アプリケーションには「認可用ID情報」と、別々に更新処理を行う必要が生じてしまいます。その結果、ID・アカウント運用の複雑化や管理漏れ、削除漏れなど、新たな課題を生み出しているのが実態です。いま、多くの企業が「統合ID基盤」構築に取り組む理由がここにあり、あらためて、「認可用ID情報」を棚卸しするとともに、「認証」と「認可」のあり方を考え直してみてはいかがでしょうか。

今回は、「認証」と「認可」について、それぞれの意味や役割の違いを紹介しました。昨今、「認証用ID情報」の統合管理を多くの企業で進めていますが、「認可用ID情報」の管理方法も含めて、あらためて考える必要があるのではないでしょうか。

また、資料『日本企業のID・アカウント運用管理の実態 2024』では、本コラムで取り上げた「認可」の理解度に関するアンケート結果以外にも、さまざまなID・アカウント管理に関する調査結果や考察を紹介しています。ぜひ、下記よりダウンロードしてご一読いただき、業務に役立てていただければ幸いです。