Webサービスやデバイスの不正アクセスを防ぎ、セキュリティの要ともなる認証と認可。この2つは混同されることが多いのですが、密接な関係にありながらも異なる概念なのです。認証と認可、それぞれの役割をしっかり確認するとともに、認証にかかるユーザーの手間を減らし、かつセキュリティも担保できるIDaaSというサービスも確認しておきましょう。

認証と認可の役割

PC・スマートフォンなどのデバイスにアクセスする時や、クラウドサービスにサインインする時には指紋認証、顔認証などの「認証」を日常的に行っています。けれども、普段「認証」と呼ばれているものが、厳密には「認証」と「認可」の組み合わせになっていることがあります。

Webサービスにサインインする一般的な流れは以下のとおりです。

1. ユーザーがID・パスワードを入力する。
2. システム側がバックエンドでID・パスワードの紐づきが正しいか照合する。
3. 認証システムがユーザーに付与されているアクセス権限を確認する。
4. 確認結果に基づき、ユーザーにサービス提供する。

上記の2番が認証、3番が認可にあたります。

認証とは

認証（Authentication：AuthN）は、通信の相手が誰であるかを確認することです。認証は大きく3種類に分けられます。

Something you know（SYK）
対象とする人しか知り得ない知識・記憶を元にする認証方法です。パスワードやPIN（Personal Identification Number）がこれに当たります。

この方法のメリットは実装コストが安価であることです。反面、総当たり攻撃などで破られる可能性があること、設定したパスワード、PINを忘れてしまうといったデメリットもあります。

Something you have（SYH）
対象とする人しか持ち得ない所有物を元にする認証方式です。IDカードやICカード・トークンなどがこれに当たります。

メリットは、ユーザーがパスワードなどを覚えておく必要がなく、簡単に利用できることにありますが、紛失のリスクがあることがデメリットです。

Something you are（SYA）
対象とする人の特徴を元にする認証方式です。指紋認証や顔認証、虹彩認証、静脈認証などの生体認証（バイオメトリック認証、バイオメトリクス認証）がこれに当たります。

メリットは、SYH同様にパスワードなどを覚えておく必要がなく、本人の身体があれば認証できることですが、体調などによって認証されないことがあること、実装コストが高価であることなどがデメリットとなっています。

いずれの方法をとった場合でもリスクはゼロにできないため、2つ以上の認証方法を組み合わせる多要素認証（Multi-factor Authentication）を取り入れることが推奨されるようになってきました。

例えば、キャッシュカードでお金をおろす時にキャッシュカードを用いて暗証番号を入力します。これは、キャッシュカードという物と暗証番号という知識を用いる2要素での認証となるわけです。

認可とは

認可（Authorization：AuthZ）は、認証されたユーザーの属性に応じて、システムやサービスへのアクセス権限を与える仕組みです。

勤怠管理システムでの勤務時間と休暇申請を例にとってみると、一般従業員は勤務時間の入力や休暇申請を行うことのみができるようになっています。

管理者はそれに対して、勤務時間や休暇申請を承認することもできるようになっています。従業員Aさんも、管理者Bさんも同じシステムにサインインはできますが、従業員Aさんは承認機能が付与されません。

つまり、同じシステムを使っていても、その人の属性次第でアクセスできるリソースが異なっているということです。

IDaaSで認証・認可の管理を簡単に

不正アクセスを防ぐためには、認証・認可ともに強化することが大切です。しかしWebサービスごとに多要素認証を行うのは、ユーザーにとって楽なことではありません。

そこで注目されているのが、IDaaS（Identity as a Service）というサービスです。IDaaSは、複数のWebサービスなどの認証・認可を一元管理するクラウドサービスを指します。

主な機能として、「ID・パスワード管理」「シングルサインオン」「認証強化」「ID連携」などがあり、その中でもいちばん便利な機能がシングルサインオン（SSO）です。

SSOで1回サインインを行えば、社内のWebサービスやクラウドサービスに自動でサインインできます。ユーザーは、サービスごとにIDやパスワードなどを入力する必要がなくなるのです。

SSOとして人気の「GMOトラスト・ログイン」( https://trustlogin.com/ )の場合、6,200以上のサービスと連携できます。

今まで朝の日課が複数のサービスへのサインインだったとすれば、この手間を一気に省くことができる業務効果は非常に大きいのではないでしょうか。

パスワード管理が苦手だと感じている人は、これを機会に検討してみてはいかがでしょうか。

まとめ

・Webサービスやクラウドに認証と認可は必須
・認証と認可は明確に役割が異なる
・複数のサインインを管理するIDaaSがおすすめ