セキュリティの設計で、
「認証」と「認可」が混ざって使われることがあります。
応用情報技術者試験では、
この2つを用語として区別できるかよりも、
混ざったときに何が壊れるのかを理解しているかが
問われます。
この回では、
認証と認可が混ざることで起きる問題を、
応用情報視点で整理します。
認証とは何か
認証は、
あなたは誰かを確認する仕組みです。
- IDとパスワード
- 証明書
- 生体情報
などを使って、
本人であることを確認します。
応用情報では、
「正しい利用者かどうか」を判断する段階として
位置づけられます。
認可とは何か
認可は、
その人が何をしてよいかを決める仕組みです。
- 参照だけ可能
- 更新が可能
- 管理者操作が可能
といった権限の制御が、
認可にあたります。
混ざると何が起きるのか
認証と認可が混ざると、
- ログインできたら何でもできる
- 権限変更が本人確認と結びついてしまう
- 権限設計が後付けになる
といった問題が起きます。
結果として、
想定外の操作が防げなくなります。
応用情報での典型的な出題意図
午後問題では、
- 認証は強固
- しかし権限制御が曖昧
といった設計が、
問題点として示されます。
ここで、
本人確認と権限制御を
別の責務として分離できているかが
見られています。
実務での考え方
実務では、
- 認証は共通基盤で管理
- 認可は業務ルールとして管理
といった分離が行われます。
応用情報は、
その設計を自然に選べるかを
試験で確認しています。
まとめ
- 認証は「誰か」を確認する
- 認可は「何ができるか」を決める
- 応用情報は責務分離を問う
セキュリティ設計では、
確認と制御を分けて考えることが
重要です。
次回予告
次回は、
「暗号化は何を守っていて何を守れないのか」
を扱います。
暗号の本質に進みます。
コメント