用語集 › 🔒 セキュリティ › 認可
【にんか】

認可 とは?

💡 誰かはわかった。次は、何ができるかだ。
📌 このページのポイント
認証(Authentication) vs 認可(Authorization) 認証(あなたは誰?) ユーザー ID + パスワード → 本人確認OK 認可(何ができる?) 権限 閲覧 → OK 編集 → OK 削除 → NG ロール(役割)ごとの権限例 管理者 閲覧・編集・削除 全権限あり 編集者 閲覧・編集 削除はNG 閲覧者 閲覧のみ 見るだけ
認可のイメージ
ひよこ ひよこ

認可って認証とどう違うんだっけ?

ペンギン先生 ペンギン先生

認証が『あなたは誰?』なら、認可は『あなたは何ができる?』を決めることだよ。たとえば遊園地に例えると、入場ゲートでチケットを見せるのが認証。フリーパスかどうかで乗れるアトラクションが変わるのが認可。本人確認と権限確認は別の話なんだ。

ひよこ ひよこ

具体的にどういう場面で使われるの?

ペンギン先生 ペンギン先生

身近な例だと、会社の共有ドライブ。ログインするのは認証だけど、あるフォルダは閲覧のみ、別のフォルダは編集もOK、機密フォルダはアクセス不可……というのが認可だよ。WebサービスでもSNSの管理者だけが投稿を削除できるとか、一般ユーザーは自分の投稿しか編集できないとか、全部認可の仕組みなんだ。

ひよこ ひよこ

RBACって何?

ペンギン先生 ペンギン先生

Role-Based Access Control(ロールベースアクセス制御)の略だよ。ユーザー一人ひとりに権限を設定するんじゃなくて、『管理者』『編集者』『閲覧者』のような役割(ロール)を作って、ロールに権限を紐づける方式。ユーザーにはロールを割り当てるだけだから、大人数でも管理しやすいんだ。

ひよこ ひよこ

権限は多めに与えておいた方が便利じゃない?

ペンギン先生 ペンギン先生

それは危険な考え方だね!セキュリティでは『最小権限の原則』が大事。必要最低限の権限だけを付与するのがベストプラクティスなんだ。全員に管理者権限を与えたら、誰かがうっかりデータを消したり、アカウントが乗っ取られたときの被害が大きくなってしまうよ。

ひよこ ひよこ

認可の設計を間違えるとどうなるの?

ペンギン先生 ペンギン先生

本来アクセスできないはずの情報が見えてしまったり、権限のない操作ができてしまったりする。実際に、URLを少し変えるだけで他人のデータが見えてしまうという脆弱性は珍しくないんだ。認可は地味だけど、セキュリティを支える超重要な仕組みだよ。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
認可は認証の後に行われる、ユーザーの操作権限を決定するプロセスです。RBACなどの仕組みで役割ごとに権限を管理し、最小権限の原則に従って必要最低限のアクセスだけを許可することで、セキュリティを高く保つことができます。
📖 おまけ:英語の意味
「Authorization」 = 権限を与えること・許可
💬 ラテン語のauctorizare(権限を与える)が語源
🔗 あわせて読みたい
← 用語集にもどる