識別、認証、認可はどう違うのか

私たち一人ひとりに毎日起きていることです。 私たちは常にさまざまなシステムによって識別され、認証され、承認されています。 しかし、多くの人がこれらの言葉の意味を混同しており、実際には認証について話しているのに、識別や承認という言葉をよく使います。

それが単なる日常会話で、双方が何を話しているかを理解している限り、それは大したことではありません。 しかし、使用する言葉の意味を知っておくに越したことはなく、遅かれ早かれ、認可と認証、少ないか少ないか、どれとあれか、など、明確化であなたを狂わせるギークに遭遇するでしょう。

では、識別、認証、認可という言葉は何を意味し、そのプロセスは互いにどう違うのでしょうか。 まず、Wikipediaを参照します。

• 「識別とは、人や物の同一性を示す行為」
• 「認証とは、コンピュータシステムのユーザーの同一性を証明する行為」（たとえば、入力したパスワードとデータベースに格納されているパスワードを比較することによって）。
• 「承認とは、リソースへのアクセス権/特権を指定する機能です」

この概念にあまり詳しくない人がこれらを混同する理由がわかります。

識別、認証、承認についてアライグマを使って説明

さて、もっと簡単にするために例を使用しましょう。 ユーザーが自分の Google アカウントにログインしたいとします。 Googleはログインプロセスがいくつかの基本的なステップにきちんと分かれているので、例としてうまく機能します。

• 最初に、システムはログインを要求します。 ユーザーが入力すると、システムはそれが本当のログインであると認識します。
• 次に、Googleはパスワードの入力を要求します。 ユーザーはそれを提供し、入力されたパスワードが保存されているパスワードと一致すれば、システムはそのユーザーが確かに実在するようであると同意します。 これが認証です。
• ほとんどの場合、Google は次にテキスト メッセージまたは認証アプリから 1 回限りの認証コードも要求します。 ユーザーがこのコードも正しく入力すると、システムが最終的にそのユーザーがアカウントの本当の所有者であることに同意します。 これが二要素認証です。
• 最後に、システムはユーザーに受信トレイのメッセージなどを読む権利を与えます。

事前の識別を伴わない認証は意味がありません。

それと同じように、認証なしの識別は馬鹿げています。 誰でもデータベースに存在する任意のログインを入力することができ、システムはパスワードが必要です。 しかし、誰かがそのパスワードをこっそり覗き見したり、推測したりすることができるのです。 ワンタイムベリフィケーションコードなど、本当のユーザーだけが持つことができるさらなる証明を求める方がよいでしょう。

対照的に、認証どころか識別なしの認可はかなり可能です。 たとえば、Google Drive でドキュメントへのパブリック アクセスを提供し、誰でも利用できるようにすることができます。 その場合、「あなたの文書は、匿名のアライグマによって閲覧されています」という通知が表示されるかもしれません。

しかし、特定のユーザーにのみ読み取り権限を与えていた場合、アライグマはドキュメントを読む権利（承認）を得るために、（ログインを提供することで）識別し、（パスワードとワンタイム認証コードを提供することで）認証されなければならなかったでしょう。

あなたのメールボックスの内容を読む場合、Googleは匿名のアライグマにあなたのメッセージを読む権限を与えることはありません。アライグマはあなたのログイン名とパスワードを使ってあなただと名乗らなければならず、その時点で、もはや匿名のアライグマではなく、Googleがあなただと特定します。 もう1つ重要な点があります。 認証は、アカウントのセキュリティという点で、おそらく重要なプロセスです。 認証に弱いパスワードを使用していると、アライグマがあなたのアカウントを乗っ取る可能性があります。 そのため、

• すべてのアカウントに強力で固有のパスワードを作成します。
• パスワードを覚えるのが面倒な場合は、パスワード マネージャーを使用します。
• サポートしているすべてのサービスにおいて、テキストメッセージや認証アプリケーションでワンタイムベリフィケーションコードを使用して、二要素認証を有効にします。 そうしないと、あなたのパスワードを手に入れた匿名のアライグマが、あなたの秘密の通信を読んだり、もっと悪いことをしたりする可能性があります。