ある組織のセキュリティ担当者が、ユーザーがシステムにアクセスするプロセスを整理しようとしている。「ユーザーが誰であるかを確認するプロセス」と「確認されたユーザーが何をしてよいかを決定するプロセス」は異なる概念である。前者と後者をそれぞれ正しく説明しているものはどれか。
- A. 前者が識別(Identification)、後者が認証(Authentication)
- B. 前者が認証(Authentication)、後者が認可(Authorization)
- C. 前者が認可(Authorization)、後者が認証(Authentication)
- D. 前者がプロビジョニング、後者がデプロビジョニング
解答と解説を見る
正解: B
認証(Authentication)はユーザーが「誰であるか」を証明するプロセスであり、パスワード・生体情報・スマートカードなどの資格情報を確認する。認可(Authorization)は認証済みのユーザーが「何をしてよいか」を決定するプロセスであり、ロールや権限ポリシーに基づいてリソースへのアクセス可否を判断する。認証が先に行われ、その結果に基づいて認可が実行される順序関係がある。選択肢Cは認証と認可が逆転しており誤りである。選択肢Aの識別(Identification)はユーザー名など自分が誰かを名乗るプロセスであり、認証はその後に資格情報で証明する段階であるため、問の「誰であるかを確認する」という説明は認証に対応する。選択肢Dのプロビジョニングとデプロビジョニングはアカウント作成・削除の概念であり、認証・認可とは異なる。