【ID管理初心者向け】芥川しおりのセキュリティ解説 #1
【ID・認証・認可】正しく説明できる?
技術者ブログ
今回のテーマ【ID・認証・認可の違い、説明できる?】
みなさん、こんしお〜!
アクシオ公式VTuber【芥川しおり(あくたがわしおり)】です!
記念すべき「芥川しおりのセキュリティ解説」の#1となります。
こちらでは、初心者にも分かり易くITセキュリティに関するよくある疑問をしおりがバシバシ解決していきます!
今回は、「セキュリティ」の話題の中でもよく耳にする「ID」「認証」「認可」について、分かり易く説明します!
「言われてみると説明できない…」そんな人もこれを機に知ってみましょう~!
「『ID管理』って結局、『ログイン』のことですよね?」
この質問、実はよくいただきます。
今回の解説を通じて、「ID管理とは何をすることなのか」という理解も深めてもらえると嬉しいです!
見て分かる【ID・認証・認可】
まずは図を使って、オフィスビルに入る場面を例に「ID」「認証」「認可」の違いを整理します。
ポイントは、“ビルに入れるか”と“何ができるか”は別だということです。
実際に自分が働いている環境ではどのように「ID」「認証」「認可」が使い分けられているのかを理解してみましょう!
実際のシステムでは、「認証」と「認可」は完全に別々に行われるというより、
認証(本人確認)をしたうえで、認可(何ができるかの判断)が続けて行われることが一般的です。
ここでは分かりやすくするために、
「誰なのかを確認する=認証」
「何ができるかを決める=認可」
と分けて説明していきます。
※実際のシステムでは認証と認可は連続した処理として行われます。本図では理解のために分けて説明しています。
ID:あなたを識別する情報
IDとは「あなたが誰か」を区別するための情報です。
社員番号やメールアドレスのように、名簿上であなたを特定するための“名札”だと考えると分かりやすいでしょう。企業では、このIDに紐づけて、会社名・所属・氏名・社員番号・勤務地などの属性情報を管理するケースが一般的です。
認証:本人確認
図の左にあるビルの入口では、社員証を提示して入館します。
これは「あなたはA社の社員ですか?」という問いに答える、いわば本人確認(入館手続き)です。
ここで確認できるのは「この人は入館して良い人かどうか」までで、入館後にどこまで立ち入れるか、なにができるかは、まだ決まっていません。
認可:利用範囲の制限
最後が認可です。ビルに入館できたとしても、次に待っているのは各フロア・各部屋の入室制限です。
たとえば図の右側のように、
- 試験エリア:技術部門のみ入室可
- サーバルーム:情報システム部門のみ入室可
といった形で、 部屋ごとに入れる人を設定しておくことが認可(権限)です。
企業で問題になりやすいのは、まさにこの部分です。
入館できた人=どの部屋へもアクセス可能 といった状況だと、アクセスしてはいけない情報の閲覧や、本来の職務範囲を超えた操作が可能になり、事故の芽が残ります。
SSO:「入館手続き(ログイン)」をラクにする仕組み
少し余談になりますが、よく耳にする「SSO」も学んでおきましょう!
この例え話でいうSSOは、入館手続きをスムーズにする仕組みです。以前は、受付で名前と身分証明書を提示し、受付担当者が目視でチェックして「問題ない」と確認してからでないと入館できなかったとします。
SSOを導入すると、利用者情報が登録されたICチップ入りの社員証をリーダーにかざすだけで入館できるようなイメージです。手続きが簡略化され、利用者の負担が減ります。こうした理由から、SSOは便利で導入価値も大きいものです。
ただし、スムーズに入館できても、結局、入館後の入室範囲(権限)が整理されていないと、アクセスできる範囲曖昧で、「誰が・どの部屋(システム)に・どこまで入れるのか」が把握しづらくなります。結果として、権限設定の定期的な見直し対応や事故対応の場面で苦労することになります。
ID管理って結局、ログインのこと?
ここで、最初の質問「ID管理って結局、ログインのことですよね?」についてお答えします!
確かに ID管理 = ログインさえできればOKな環境を作る と思われがちです。
ですが、上の図でもお伝えした通り、セキュリティの現場で本当に重要なのは、ログインしたあと(入ったあと)に “その人は何ができるのか?” という権限のコントロールです。
ID管理とは、ただログインさせる環境を作ることではなく、
- 権限をまんべんなく把握しておく
- 権限を過不足なくコントロールする
ということなのです。
昨今では、こういったID管理の概念に「統制」の考えを加えたものをIDガバナンスとも呼んでいます。
ミスを防ぐ【ID管理システムの重要性】
最後に、なぜ企業では「ID管理」が重要視されるのかを改めて整理します!
結論から言うと、人と組織は常に変化するのに、アカウントの棚卸や権限の見直しが手作業のままだと追いつかないからです。
手作業運用であるあるの3つの落とし穴
- 退職・契約終了後のアカウントが残る
「もう使わないはずのID」が残ると、悪用されても気づきにくくなります。 - 異動・兼務で権限が増え続ける
新しい役割の権限は追加される一方で、古くて不必要な権限が残ったままで、過剰権限になりがちです。 - “誰が・何に・どの権限で”を説明できない
監査や事故対応の場面で、アクセス状況を即座に説明できず、確認に時間がかかります。
なぜ「仕組み」が必要なのか
日本企業って異動があったり、出向があったり、兼務があったり…。複雑な人事対応が多いですよね。
しおりちゃんの言う通り、人事異動、組織変更、委託先の入れ替えなど、権限を見直すきっかけは日常的に発生します。ここを都度の手作業で回そうとすると、担当者の経験や記憶、「なんとなく」に依存しやすくなり、ミスや漏れが起こります。
そこで重要になるのが、アカウントと権限を“継続的に整える”ための仕組みです。認証だけでなく、ログイン後の権限(学んだ言葉を使うと「認可」)まで管理できて、はじめて実務で回るID管理になります。
さいごに
「ID」「認証」「認可」をテーマにした#1は以上です!
「うちの場合は、ID管理どうすればいい?」など、相談してみたい方は、お気軽にお問い合わせください~!
【お問い合わせはこちらから】
ID管理をラクにする製品も紹介しています!ぜひチェックしてみてください。
次回の「芥川しおりのセキュリティ解説 #2」もお楽しみに~!
関連ソリューション
クラウドID管理ソリューション「Keyspider」は、
単なるアカウント管理ツールではなく、日本企業特有の複雑な人事・組織構造に対応したクラウド型のIDライフサイクル基盤です。
人事発令情報をトリガーに、入社・異動・退職といったライフサイクル全体でIDと権限を自動的に制御。
ノーコード設定により運用をシンプル化し、セキュリティリスクの低減、ガバナンス強化、業務効率化を同時に実現します。
・人事データと連動したライフサイクル管理
・権限の自動付与・自動剥奪(ノーコード設定対応)
・監査証跡の一元管理と可視化
クラウドとオンプレミスの両環境に対応し、既存システムとの連携も容易。
グループ全体のセキュリティと運用効率を両立させる、国産クラウドID管理ソリューションです。
👉 導入事例を見る:[国内大手企業での活用事例はこちら]
👉 詳しくは[Keyspider製品ページ]をご覧ください。