IdP の話や Active Directory などの話をすると認証と認可をまとめて概要として理解していて、それぞれを理解していないという方が意外と多くいます。結果としてベンダー側は「こいつわかっていないな」ということで話のレベルを下げたり、こういう対応をしますと言い切ってスコープを決めたりするわけですが、ここがわからないと情報を守るという観点でのセキュリティとしては基本がわかっていないということになりますので確実におさえてほしい部分となります。
認証と認可の違い
認証はユーザーの身元を確認することであるのに対し、認可はユーザーにリソースにアクセスする権利を与えるということです。
たぶん読めばわかる内容ではあると思うのですが、概要でしかとらえていなくて頭の中で整理が出来ていない人が多いので具体的な例をあげてみます。忘れそうなものは具体的なものをイメージすると記憶に残りやすいですし、何かを覚えておけば自分でそれを考えて答えにたどり着くことができるのでおすすめです。
企業での認証と認可①
ある程度の人数がいてセキュリティ対応がされている会社であればパソコンのログイン時のIDとパスワードの設定はされているかと思います。また、NAS なのか SaaS なのかなどの詳細は別としていわゆる共有のストレージが使えるようになっているかと思います。
ここでパソコンのログインに使われる「IDとパスワード」は認証です。ストレージが使えるようになっている(おそらく別途認証しなくてもSSOで使えることがほとんどでしょう)のは認可です。
考え方としては「あなたが正しい利用者であるという判断をする」ものが「認証」であり「あなただから使える」ものが「認可」です。
あなたの所属する企業の中に入ることができる社員以外(警備員・掃除スタッフ・設備スタッフなど)がいるとして、その方たちがあなたの所属する企業のPCにサインインできることは一般的にははずです。これは企業に物理的に入ることは許可されているもののPCを使うことを想定しないためにIDとパスワードを発行されていないからです。
あなたを特定する必要がある(他の人が使う可能性もある)というときに使うのが「認証」となります。
※PCを使う「許可」として考えてしまって「認可」と整理がつかなくなってしまう人が一定数いるように思います。そのため整理のために何個か具体例書いてみます。
あなたが営業部や技術部の一般社員とするならば自分の部署や全社員が利用できるフォルダーにはアクセスできますが、人事部や経理部のフォルダー(人事情報・給与情報・計数情報など)にはアクセスできないはずです(表示できないようにしている可能性が高いです)。これは職種や職務に応じ権限設定されているからであり、個人情報保護の観点やトラブル防止の観点など様々な観点で考慮された結果となります。
あなたが使えるフォルダーの設定が「認可」となります。一般的に人事や経理というフォルダーに対しては「認可されていない」ために利用ができません。
企業での認証と認可②
①の例よりも大きい企業だと入退出管理などにIDカードを利用している会社があります。わかりやすい例のために役員フロアやラボがある前提としてみます。
一般的な執務フロアへの入室に関しては入室が必要だと思われる人に対してIDカードが貸与される(既存の交通系IC使うケースなどもある)かと思います。これが「認証」となります。
あなたを一般社員とするならば役員フロアやラボには入れませんのでそこでIDカードを使っても施錠は空かないでしょうし立ち入ることはできないでしょう。これが「認可」となります。
あなたは社員であればIDカードは貸与されて「認証」することはできますが、より厳密な権限設定をしている役員フロアやラボに関しては職種や職務的に必要ではないと考えられているため「認可」がされていないという例になります。
免許証での認証と認可
あなたが16歳になって原動機付自転車(いわゆる原チャリ)の免許を取ったとします。免許証を与えられるという「認証」と原動機付自転車を運転するという「認可」を得ることになりますが、一般的な自動車を運転するために必要な「普通自動車免許」や総排気量が50cc以下の二輪車を運転するために必要な「普通二輪免許など」がなければ「認可がない」ものを運転することはできません。※私有地などイレギュラーは除く
マイナンバーカードでの認証と認可
通知カードが全世帯に配布されて、希望者のみがマイナンバーカードにするという取り組みだったので e-TAX の人や顔つき身分証明書がない方などの一部しか利用されてこなかったものがマイナポイントのバラマキや保険証としての利用促進のために新規保険証発行停止などが予定されているので所有率も74%(2024年6月末時点の公表値)とかなりあがってきたようです。
このマイナンバーカードは複数の狙いがあるのかなと思いますが、マイナンバーを伝えるという目的っだけでなくマイナンバーカード(顔つき身分証明書)として物理的に持ち運べるICチップ入りのカードという側面では「認証」ができる側面があります。
マイナンバーカードの取り組みで「公金受取口座登録」と「健康保険料の利用申し込み」でそれぞれ7500ポイントもらえるというものがありました。これは利用者の皆さんが「認可を与える」ことでもらえるという仕組みなのですがそこまで意識していた方は多くはないかと思います。
マイナンバーは番号そのものであり特定用途以外に使うのは違法なのですが、マイナンバー「カード」は本人確認(顔つきの住民票と同じ意味を持つ)として利用することができますので「認証」としては利用用途は増えることが予想されます。
マイナンバーカード(Wikiのリンク)
https://ja.wikipedia.org/wiki/%E3%83%9E%E3%82%A4%E3%83%8A%E3%83%B3%E3%83%90%E3%83%BC%E3%82%AB%E3%83%BC%E3%83%89
最後に
これから IdP を使い倒すという会社であれば SSO の設定の際にこのあたりの考え方は必要になりますし、ある程度 SSO の設定は終わってセキュリティ対策をするという会社であれば PIM などの考え方でこのあたりは必要になってくるかと思います。
日本の企業は認証に関しては気を付けるものの、認可についてはあまり気を使っていないケースが多いというのがあります。ISMS や Pマークをはじめとする認証や監査などでもうるさく言われるから ID の停止に関しては厳密に管理をするけど、フォルダーの権限については人事異動やイレギュラー対応のまま放置なんてことをよく聞きます。また、システムの管理者アカウントにしてもシステム部署から他部署に異動した人間が念のためにそのまま持っているなんて話を聞くこともがあったりします。
必要なときに必要な権限を付与するという考え方がクラウドでは標準的な考え方ですし、リスクを減らすというのも重要なセキュリティ対策ですので「認証と認可」に関しては改めて見直しして対応しているという企業も多いです。
通信の流れとかまで求められるシナリオはそう多くないと思いましたので書きませんでしたが「認証と認可」は「システムを使えるようにする対策」というざっくり概要ではなく、どういう違いがあるかぐらいまではおさえておくとよいかと思います。