認証は、ユーザーが自分自身であることを証明するプロセスであり、パスワード、PINコード、指紋スキャンなどの資格情報を使用します。これには、単一要素認証、多要素認証、パスワードレス認証などのタイプがあります。
承認は、ユーザーの権限レベルを決定し、システムリソースへのアクセスを制御するプロセスです。これには、ロールベースアクセス制御、属性ベースアクセス制御、強制アクセス制御などのタイプがあります。
認証と承認は、組織のセキュリティを強化するために協力して働きます。認証はユーザーアカウントの防御に、承認はアカウントがアクセスできるシステムの防御に役立ちます。正しいレベルのアクセスを提供するためには、まず認証が必要です。
これらのプロセスは、アイデンティティ盗難やアカウントの乱用などの脅威から防御するために重要です。認証はパスワードを他の要素で強化し、承認はユーザーの特権を制限することで、悪意のあるハッカーや内部の脅威によるアクセス権の誤用を防ぎます。
組織は、誰がユーザーであるか(認証)と、そのユーザーがシステム内で何ができるか(承認)を把握する必要があります。これらのプロセスは、AIによる攻撃を含む様々な脅威を防ぐための重要な防御策としての役割も担っています。
ニュース解説
認証(Authentication)と承認(Authorization)は、組織のアイデンティティとアクセス管理(IAM)システムにおいて関連するが異なる二つのプロセスです。認証はユーザーの身元を確認するプロセスであり、パスワードやPINコード、指紋スキャンなどの資格情報を用いて、ユーザーが主張する自己が本当にその人物であることを証明します。一方、承認はユーザーにシステムリソースへの適切なレベルのアクセス権を与えるプロセスであり、ユーザーが特定のリソースやネットワーク内で行える操作を規定するユーザー権限に基づいています。
例えば、ファイルシステムにおける権限は、ユーザーがファイルを作成、読み取り、更新、削除することができるかどうかを決定します。認証と承認のプロセスは、人間のユーザーだけでなく、デバイスや自動化されたワークロード、ウェブアプリなどの非人間ユーザーにも適用されます。認証は通常、承認の前提条件となります。システムはユーザーが誰であるかを知る必要があり、その後でそのユーザーに何かへのアクセスを許可します。
認証は、単一要素認証(SFA)、多要素認証(MFA)、パスワードレス認証など、さまざまな形態があります。SFAは一つの認証要素を要求し、MFAは異なるタイプの少なくとも二つの認証要素を要求します。パスワードレス認証は、パスワードやその他の知識要素を使用せずに行われます。これらは、特にクレデンシャル盗難に対する防御として人気があります。
承認には、ロールベースアクセス制御(RBAC)、属性ベースアクセス制御(ABAC)、強制アクセス制御(MAC)、任意アクセス制御(DAC)などの異なるタイプがあります。RBACはユーザーの役割に基づいてアクセス権限を決定し、ABACはユーザーの属性、オブジェクトの属性、行動の属性などを分析してアクセスレベルを決定します。MACは中央で定義されたアクセス制御ポリシーを全ユーザーに適用し、DACはリソースの所有者が自分のリソースに対するアクセス制御ルールを設定できるようにします。
認証と承認は、組織のセキュリティを強化し、データ漏洩を防ぐために連携して機能します。強力な認証プロセスは、ハッカーがユーザーアカウントを乗っ取るのを難しくし、強力な承認はハッカーがそれらのアカウントで行える損害を限定します。組織は、ユーザーが誰であるか(認証)と、そのシステム内で何が許可されているか(承認)を理解する必要があります。
これらのプロセスは、アイデンティティベースの攻撃やアカウントの乱用などの脅威から防御するために重要です。認証はアカウントの盗難を難しくし、承認はユーザーの特権を制限することで、悪意のあるハッカーや内部の脅威によるアクセス権の誤用を防ぎます。また、これらのプロセスはAIによる攻撃を含む様々な脅威を防ぐための重要な防御策としての役割も担っています。
from Authentication vs. authorization: What’s the difference?.
