きっかけ
認証系機能の要件を整理する際、「認証」と「認可」をひっくるめて「認証」と表現する人がいて、少なからず混乱を生んだということがありました。
その際、説明のために 認証 と 認可 の違いを改めて調べたので、自分の理解を覚書として書き連ねます。
認証 と 認可 の違い
先述の話題では「ログイン認証」の要件として、大きく分けて以下の2点が挙げられていました。
- ID、パスワードを用いたユーザーの特定
- ユーザーが利用可能な機能の選定(メインメニューのボタン表示/非表示)
結論としては、前者が「認証」で後者が「認可」となるのですが、これらが「ログイン認証」としてひとくくりに話されていたために「ユーザーが利用可能な機能を認証する」と言った発言が飛び交うことになりました。
認証(Authentication) : 本人確認
認証とは、システムであればアクセスしてきた者が誰であるかを特定することを指します。
IDやパスワードと言った情報を元に、システムに登録された特定のユーザーとアクセスしてきた者を対応付ける機能が代表的です。
認可(Authorization) : 権限確認
認可とは、アクセスしてきた者に対して権限を確認することを指します。
システムであれば、特定の機能を対象者が利用できるかどうかや、特定のデータに対してのアクセス権限を判断したりします。
認可そのものはアクセスしてきた者が誰であるかを特定する必要は無く(つまり、認証を前提としない)、あくまで権限の有無を判断することを指します。
実際には特定のユーザーに対して権限の有無を判断するケースも多いため、ここが認証と認可を混同しやすい要因かもしれません。
認証 と 認可 の例
理解を促す為に、現実社会における 認証 と 認可 の例をいくつか挙げていきます。
認証 の例
本人確認を行う手段として、以下のようなものが挙げられます。
- 運転免許証、マイナンバーカード
- 住民票の写し、戸籍抄本
- 名刺、名札
これらの媒体に記載された情報(名前、住所、顔写真 等)を頼りに、所持した者が誰であるかを特定することが出来ます。
ただし、公的機関が発行したものであるか、顔写真があるか 等によって「どの程度、持ち主が本人であると断定できるか/信用できるか」については差があるので、利用場面によっては求められるものが変わることがあります。
認可 の例
権限を確認する手段としては、以下のようなものが挙げられます。
- 鍵 (住宅の鍵 等)
- 乗車券 (鉄道のきっぷ/特急券 等)
鍵は住宅のような施錠された区画に入室すること、乗車券は駅の改札内や車両に立ち入る権限の確認として機能します。
認可 においては本人を特定する必要が無いため、以下のような事例が成り立ちます。
- 鍵を所持していれば、住宅の持ち主でなくても入室できる。
- 乗車券は購入した本人でなくても、乗車券を現に所持している人に対して鉄道等に乗車する権利が与えられる。
認証 と 認可 を同時に行う場合の例
認証 と 認可 はその一方だけではなく、両方を同時に行うものもあり、以下のようなものが挙げられます。
- 運転免許証
本人を確認する手段として用いられ、同時に自動車等を運転する権限が与えられる。 - パスポート
本人を確認する手段として用いられ、同時に国外へ渡航する権限が与えられる。
また、認可 を受ける為に 認証 が前提となっているものもあります。
- 航空券
航空券は券面に記載された本人に限定して、旅客機へ搭乗する権限が与えられる。
(一般的な鉄道の乗車券と異なり、譲渡が認められない)
その他の 認証、認可 に関わる手続きの例
以下のように、その媒体が持つ機能の一部を用いて認可を行う事例があります。
- 運転免許証 に記載された 生年月日 によって年齢を確認し、20歳以上の場合に酒類・タバコ等を購入する権限を与える(認可)。
- 名札 に書かれた店舗名を確認し、その店舗の従業員であることを確認する(本人特定までは行わない限定的な認証)。
また、認可においては与えられる権限に条件を設けられる場合や、別の媒体での認可を併せて求められる場合、あるいは認可を行う担当者によって追加の判断が行われる場合があり、以下のような事例が挙げられます。
- 自動車の運転免許証を持っていれば自動車を運転する権限が与えられるが、「眼鏡等」の条件が設けられている場合は眼鏡やコンタクトレンズを装着しない状態ではその権限が与えられない。
- 自動車の運転免許証において、運転が認められる車種が限定されている(例えば大型トラックの運転が認められない場合がある)。
- パスポートを所持していれば国外への渡航は認められるが、特定の国への渡航においては別途正当なビザを所持していることが求められる。
- パスポートを所持している場合でも、入国審査官の判断によっては入国を認められない場合がある。
まとめ
認証 と 認可 は同時に行なわれたり、複合的な判断が行われることがある為、混同されることがあります。
それぞれ目的が異なるのできちんと整理していきたいと思う所存です。
改めて一言でまとめると、以下の通りです。
- 認証 : 本人確認。対象者が誰であるかを特定する手続き
- 認可 : 権限確認。対象者が権限を持っているか確認する手続き