認証と承認は、組織のIDおよびアクセス管理(IAM)システムにおいて関連してはいるものの、異なるプロセスです。認証はユーザーの身元を確認します。承認により、ユーザーにシステム・リソースへの適切なレベルのアクセス権が付与されます。
認証プロセスは、ユーザーが本人であることを証明するために提示するパスワードや指紋スキャンなどの資格情報に依存します。
承認プロセスは、特定のリソースまたはネットワーク内で各ユーザーが実行できる操作を概説するユーザー権限に依存します。例えば、ファイル・システムの権限によって、ユーザーがファイルを作成、読み取り、更新、または削除できるかどうかが決まります。
認証および承認プロセスは、デバイス、自動化されたワークロード、Webアプリケーションなど、人間のユーザーと非人間のユーザーの両方に適用されます。単一のIAMシステムが認証と承認の両方を処理する場合もあれば、連携して動作する別々のシステムによってプロセスが処理される場合もあります。
認証は通常、認可の前提条件です。システムは、ユーザーに何かへのアクセスを許可する前に、そのユーザーが誰であるかを認識する必要があります。
ハッカーが有効なユーザー・アカウントを乗っ取り、アクセス権を悪用するIDベースの攻撃が増加しています。IBM® X-Force Threat Intelligence Indexによると、これらの攻撃は 脅威アクターがネットワークに侵入する最も一般的な方法であり、サイバー攻撃全体の30%を占めています。
認証と承認は連携して、安全なアクセス制御を実施し、データ侵害を阻止します。強力な認証プロセスにより、ハッカーがユーザー・アカウントを乗っ取ることが難しくなります。また、強力な認証により、ハッカーがそれらのアカウントを使って及ぼす損害を制限できます。
認証は「authn」と略されることもあり、ユーザー認証情報(認証要素とも呼ばれる)の交換に基づいています。認証要素は、ユーザーの身元を証明する証拠です。
ユーザーがシステムに初めて登録するときに、一連の認証要素を確立します。ユーザーがログインすると、これらの要素が表示されます。システムは、提示された要因をファイル上の要因と照合します。一致する場合、システムはユーザーが本人であると信頼します。
一般的な認証要素の種類は次のとおりです。
個々のアプリケーションやリソースには独自の認証システムを設定できます。多くの組織では、シングル・サインオン(SSO)ソリューションなどの1つの統合システムを使用しており、ユーザーは1回の認証で安全なドメイン内の複数のリソースにアクセスできます。
一般的な認証標準には、Security Assertion Markup Language(SAML)とOpenID Connect(OIDC)が含まれます。SAMLはXMLメッセージを使用してシステム間で認証情報を共有しますが、OIDCは「IDトークン」と呼ばれるJSON Webトークン(JWT)を使用します。
IBMのIDおよびセキュリティーの専門家が、IAMの取り組みを合理化し、ハイブリッド クラウド環境全体でソリューションを管理し、ガバナンス・ワークフローを変革するためにどのように役立つかを説明します。
承認は「authz」と略されることもあり、ユーザーの権限に基づいて行われます。権限とは、ユーザーがシステム内で何にアクセスでき、そのアクセスを使用して何ができるかを詳細に規定するポリシーです。
通常、管理者とセキュリティー・リーダーがユーザー権限を定義し、それが承認システムによって適用されます。ユーザーがリソースにアクセスし、またはアクションを実行しようとすると、承認システムは続行を許可する前にユーザーの権限を確認します。
顧客記録を含む機密データベースを考えてみましょう。承認により、ユーザーがこのデータベースを表示できるかどうかが決まります。表示できる場合は、承認がデータベース内で実行できる操作、つまり、エントリーの読み取りのみが可能か、それともエントリーの作成、削除、更新も可能かなども決まります。
アクセス・トークンを使用してユーザーに権限を委任するOAuth 2.0は、一般的な認証プロトコルの一例です。「OAuth」を使用すると、アプリケーション間でデータを共有できます。例えば、OAuthを使用すると、SNSサイトはユーザーの同意があれば、ユーザーのEメール連絡先をスキャンして、ユーザーが知っている可能性のある人物を探すことができます。
ユーザー認証と承認は、機密情報とネットワーク・リソースを 内部脅威や外部の攻撃者から保護する上で補完的な役割を果たします。つまり、認証は組織がユーザー・アカウントを保護するのに役立ち、承認はそれらのアカウントがアクセスできるシステムを保護するのに役立ちます。
包括的なIDおよびアクセス管理(IAM)システムは、ユーザー・アクティビティーを追跡し、ネットワーク資産への不正アクセスをブロックし、適切なユーザーのみが適切なリソースにアクセスできるようにきめ細かい権限を適用するのに役立ちます。
認証と承認は、意味のあるアクセス制御を実施するために組織が答える必要のある2つの重要な質問に対処します。
組織は、適切なレベルのアクセスを有効にする前に、ユーザーが誰であるかを把握する必要があります。例えば、ネットワーク管理者がログインする場合、そのユーザーは適切な認証要素を入力して管理者であることを証明する必要があります。そうして初めて、IAMシステムは、そのユーザーが他のユーザーを追加したり削除したりするなどの管理アクションを実行することを許可します。
組織のセキュリティー管理がより効果的になるにつれ、ユーザー・アカウントを盗み、権限を悪用して大混乱を引き起こす攻撃者が増えています。IBM X-Force Threat Intelligence Indexによると、IDベースの攻撃の頻度は2022年から2023年の間に71%も増加しました。
サイバー犯罪者には、こうした攻撃を実行するのは簡単です。ハッカーは、ブルートフォース攻撃によってパスワードを解読したり、情報窃盗型マルウェア(マルウェア)を使用したり、他のハッカーから認証情報を購入したりする可能性があります。実際、X-Force Threat Intelligence Indexによると、ダークウェブで販売されているクラウド資産の90%はクラウド・アカウントの認証情報で占められています。
フィッシングは、認証情報の盗難によく使われるもう1つの手口です。また、生成AIツールにより、ハッカーはより短時間でより効果的なフィッシング攻撃を開発できるようになりました。
認証と承認は基本的なセキュリティー対策と考えられているかもしれませんが、AIを利用した攻撃を含む個人情報の盗難やアカウントの不正使用に対する重要な防御策です。
認証では、パスワードを生体認証などの解読が困難な他の要素に置き換えたり強化したりすることで、アカウントの盗難を困難にすることができます。
きめ細かい承認システムでは、ユーザーの権限を必要なリソースとアクションのみに制限することで、攻撃の横移動を抑制できます。これにより、悪意のあるハッカーや内部脅威がアクセス権を悪用して引き起こす可能性のある損害を制限することができます。
IBM® Security Verifyを使用すると、組織は基本的な認証と許可を超えた機能を実現できます。Verifyは、パスワードレスおよび多要素認証オプションを使用してアカウントを保護し、きめ細かなコンテキスト・アクセス・ポリシーを使用してアプリケーションを制御するのに役立ちます。
IBM Security Verifyの詳細はこちら