認証と認可について
コロナウィルスの話もあり、リモートアクセス環境の整備が進んでいます。
一方で、高度で複雑なサイバー攻撃対策も必要とされています。
アクセス制御関連は、セキュリティの高度化やクラウドを利用する際に関係してくるため、基本的な言葉については理解しておくとよいと思います(私は全然詳しくなく勉強中です)
よく、認証と認可という言葉を聞きます。
認証
認証とは、コンピューターやシステムにログインできるユーザーを識別することです。一般的には、IDとパスワードで認証してPCにログインしたり、スマートフォンでは、指紋認証してログインすることもあります。
万一、ID、パスワードが悪意のある第3者に盗まれた場合の対策の一環として、例えば、ID、パスワードの認証後に、ワンタイムパスワード(One Time Password:OTP)を利用することもあります。
OTPの仕組みはいろいろありますが、ID,PWで1回目の認証に成功した後に、ユーザに
メールやショートメッセージで1回だけ使用できるパスワードを送ったり、スマートフォンに専用アプリを入れて、そこからパスワードを発行したり、スマートフォン上でアクセスを承認するような仕組みもあります。
スマートフォンを無くすと大変なことに。
認可
認可とは、システム管理者がある特定の条件を満たしたユーザに対して、特定のシステムやサービスの利用を許可することです。
誰がどこにアクセスしてよいか、ACL(Access Control List)で設定します。
例えば、新入社員が社内ポータルにログインできても、そこから先の経費精算システムを利用できるかは、ACLでアクセス権限を付与されていなければなりません。
監査
認証と認可をあわせて認証基盤を構築しても、その後アクセス状況を確認したり、誰がどこにアクセスしたか、ログとして記録として残すしておくことにより、不正アクセスユーザの有無について調査検証(=監査)することができます。
これらを具体的にシステム化するための基本的なインフラとして、アクティブディレクトリが普及しております。
次回は、アクティブディレクトリについて。