「認証」と「認可」の違いとは?<br />不正アクセスを防ぐための仕組みを解説!

「認証」と「認可」の違いとは?
不正アクセスを防ぐための仕組みを解説!

近年、個人情報漏洩により大きな被害が発生したというニュースを良く耳にします。
大きな被害に繋がる情報漏洩の原因について、JNSAの調査報告書によると、トップ3位は以下のようになっています。


1位:紛失/置き忘れ 26.2%
2位:誤操作 24.6%
3位:不正アクセス 20.3%

出典:JNSA 情報セキュリティインシデントに関する調査報告書(https://www.jnsa.org/result/incident/2018.html)

1位、2位に関しては人為的なミスによる影響が大きいのでシステムで防ぐことは難しいですが、
3位の不正アクセスに関しては認証の強化や認可の設定の精査を行う事で、攻撃を受けたとしても被害の発生を防ぐことや、発生したとしても被害を最小限にすることが可能です。

しかし、認証と認可の違いを正しく理解していないと、適切な対応を行う事が出来ません。
今回は、よく混同することがある認証認可の違いについてご説明いたします。

認証とは

「認証」とは、対象(人、物等)を特定することを指します。

対象を特定する方法としては、大きく以下の3つに分類されます。

  • 知識情報(対象が知っていること)
  • 生体情報(対象の特徴)
  • 所持情報(対象がもっているもの)

知識情報による認証

知識情報による認証の例としては「パスワード認証」が挙げられます。


パソコンにアクセスする際に「ID」「パスワード」を設定されている方は多いと思いますが、これは利用者を特定するために行われます。利用者は自身が「ID」の持ち主であることを、本人しか知りえない「パスワード」を入力する事で証明します。

生体情報による認証

生体情報による認証の例としては「顔認証」が挙げられます。

みなさんは、家族や友人などの人物を見たときに、通常は相手の「顔」を見て相手が誰であるかを特定されることが多いと思います。これは、みなさんがその本人の特徴である「顔」を見て、相手を特定(認証)していると言い換えることができます。

最近では、コンピュータが生体情報の特徴を読み取って認証に利用する「生体認証」の技術も普及しており、スマートフォンのロック解除など、日常で見かけるシーンも徐々に増えてきています。

所持情報による認証

所持情報による認証の例としては「SMS(ショートメッセージサービス)による認証」が挙げられます。


こちらは前述の2つよりも馴染みが少ない方もいらっしゃるかもしれませんが、サービスを利用する際に、所有する携帯電話に対してSMSが送られ、そのSMSに送られてきた情報を入力する事でサービスが利用できるような仕組みです。本人しか持ちえない物である携帯電話(電話番号)を利用することで、本人を特定してします。

もっと単純な例としては、家の鍵車の鍵も所持情報による認証といえるでしょう。所持のみに頼る場合、盗難や紛失のリスクがあるため、情報セキュリティの界隈では他の認証手段と組み合わせて利用されることも多いです。

以上のように、何らかの情報(知識、生体、所持)を用いて相手を特定する事を「認証」と呼びます。特定するのみであり、それ以外の目的は認証にはありません。

認可とは

認証に関しては前述いたしましたが、認可とは何でしょうか。

認可とは、「認めて、許可する」と書くとおり、何かしらの権限や権利を与える事を指します

例えば映画を見に映画館に訪れた場合、チケットを購入し、受付(チケットのもぎり)の方にそのチケットを渡して映画を上映するホールに入ります。

チケットには対象の映画や上映するホール、座席番号が記載されています。

これはチケットを購入した人が「対象の映画、上映ホール、特定の座席」という対象物(リソース)に対して、利用することが出来るという権限(認可)を与えられたという事を指します。

認証と認可の違いとは?

顔認証の例だと、あなたは顔という生体情報を利用して、目の前にいる人が「○○さん」である事を特定(認証)できますが、その「○○さん」に対して、例えば「部屋に入ってよい」といったような許可(認可)を与えているわけではありません。

映画館の例だと、映画館は「対象の映画、上映ホール、特定の座席」で映画を鑑賞してもよいという権限(認可)を与えていますが、映画を見る人が「○○さん」である事を特定(認証)しておりません。

飛行機の場合はどうでしょう。国際線の搭乗手続きは、パスポートによって本人確認を行う「認証」と、航空券による「認可」の組み合わせと言えるでしょう。

ATMの場合はどうでしょうか。キャッシュカード(所持)と暗証番号(記憶)という2種類の認証によって本人確認を行ったうえで、現金の引き出しや預け入れなどの許可が与えられますが、ATMでは「利用限度額は50万円まで」といったような限定された権限(認可)のみが与えられます

認証と認可の違いについて、具体例を挙げてご説明しましたが、イメージすることができましたでしょうか。

続いて、情報システムのセキュリティ対策という観点で認証・認可の重要性についてご紹介いたします。

不正アクセスの被害を防ぐためには

情報システムにおける不正アクセスの被害を防ぐためには、認証・認可の両面からセキュリティを強化することが非常に重要になります。

認証強化の例としては、ログイン時に使用する情報として知識情報・生体情報・所持情報を組み合わせる「多要素認証」を導入することで、情報システムへの不正な侵入を防ぐことができます。

認可については、それぞれのログインアカウントへ与える権限を最小化させることで、仮に不正アクセスが発生したとしても、被害を最小限に防ぐことが可能になります。こちらについて、具体的に解説していきます。

Linuxサーバの運用を例に考えてみましょう。みなさんの会社で運用されているサーバでは、メンテナンス用に専用のアカウントを使用されておりますでしょうか。もし、そのようなアカウントを設けずに、運用時にrootアカウントを使用している場合は、注意が必要です

rootアカウントは、通常の運用やメンテナンスで必要な処理だけでなく、すべての操作権限を持つアカウントです。万が一、攻撃者にrootアカウントのパスワードが特定されてしまうと、攻撃者は何でもできるようになってしまいます。rootアカウントであれば不正アクセスの形跡を消すこともできてしまうので、不正アクセス被害に気づくことすらできなくなってしまう危険性もあります

もちろん、パスワードを強力にしたり、多要素認証を導入したりといった認証面の対策でそもそもの不正アクセスを防ぐことが重要ですが、情報漏洩のリスクは外部からの不正アクセスだけではありません。日常的な運用でrootアカウント使用することは、内部犯行によるデータ流出や、操作ミスによるサービス停止やデータ消失など、故意または過失によるセキュリティ事故を引き起こしやすくなります

そのため、アカウントは目的毎に用意し、用意したアカウントに対して認可する権限を最低限に設定する「最小権限の法則」を徹底することが、認可に関するセキュリティ強化の基本的な考え方となります(このケースの場合、rootでのSSHログインを禁止したり、sudoコマンドの実行権限をsudoersファイルで細かく設定したりという対処が一般的です)。

認可に関するセキュリティ強化が必要なのは、サーバ管理のように一部の従業員だけが関わる業務だけではなく、顧客管理システムや営業支援サービスなど、一般社員向けのシステムについても同様です。その社員が本来アクセスする必要がない情報へアクセスが可能であることは、故意または過失によるデータ流出に繋がってしまう可能性があります

顧客情報などの機密情報へのアクセスについては、やはり最小権限の法則に従い、できるだけ権限を細分化し、不要な権限を与えないことが大切です。

おわりに

認証と認可の違いと、認証・認可によるセキュリティ強化についてご説明しました。

パスワードを複雑にしたり、パスワード(知識情報)以外にも顔認証(生体情報)などを利用「多要素認証」で、利用者を厳密に特定(認証)したとしても、認可が適切ではなく、その利用者がアクセスしてしまってはいけないようなリソース(全顧客の個人情報等)にアクセスできてしまうと、その利用者経由で情報漏洩に繋がってしまいます。

一方で、アクセス権限の設定が適切であったとしても、認証が破られてしまえば、なりすましによる情報漏洩を防ぐことはできません。

不正アクセスによる被害を防ぐためには、どちらかを実施すればよいのではなく、どちらとも対応する必要があります。

NTTテクノクロスでは、認証・認可プラットフォーム「TrustBind」や、サイバー攻撃対策の「TrustShelter」クラウド環境の設定ミスを防ぐ「Dome9」など、様々なソリューションを提供しています。不正アクセス対策を検討される際は、是非ご相談ください。

TrustBind for テレワーク

TrustShelter/WAFDome9