用語集 › 🔒 セキュリティ › クライアント認証
【くらいあんとにんしょう】

クライアント認証 とは?

💡 「いらっしゃいませ」の前に「会員証を見せてください」がある世界
📌 このページのポイント
クライアント認証 — あなたは誰? クライアント クライアント証明書 (秘密鍵で署名) サーバー 信頼するCAリスト クライアント証明書を提示 サーバーが証明書を検証 証明書方式 mTLS・ICカード トークン方式 OAuth・APIキー パスワード方式 ID/PW・Basic認証
クライアント認証のイメージ
ひよこ ひよこ

クライアント認証ってログインとは違うの?

ペンギン先生 ペンギン先生

ログインもクライアント認証の一種だけど、一般的にクライアント認証というと「クライアント証明書」を使った認証を指すことが多いよ。IDとパスワードの代わりに、電子証明書という身分証をクライアントが持っていて、それをサーバーに提示するイメージだね

ひよこ ひよこ

クライアント証明書ってどこから手に入れるの?

ペンギン先生 ペンギン先生

企業の場合は社内の認証局(プライベートCA)が発行するのが一般的だよ。社員証のデジタル版みたいなもので、会社のIT部門がパソコンやスマホにインストールしてくれるんだ。個人で使うケースはあまりないね

ひよこ ひよこ

APIキーとクライアント証明書って何が違うの?

ペンギン先生 ペンギン先生

APIキーは単なる文字列だから、漏洩したら誰でも使えてしまうんだよ。一方クライアント証明書は公開鍵暗号を使っていて、秘密鍵がないと認証できないから安全性が高いんだ。ただし証明書の管理コストが高いので、用途に応じて使い分けるのが現実的だね

ひよこ ひよこ

どんな場面でクライアント認証が必要になるの?

ペンギン先生 ペンギン先生

企業のVPN接続、社内システムへのリモートアクセス、マイクロサービス間の通信なんかが典型的だよ。最近はゼロトラストの流れで、社内ネットワークにいてもクライアント認証を求めるケースが増えているんだ

ひよこ ひよこ

クライアント証明書が失効したらどうなるの?

ペンギン先生 ペンギン先生

証明書失効リスト(CRL)やOCSPという仕組みでリアルタイムに失効チェックができるよ。ただしCRLはリストが巨大になると配布が大変で、OCSPはレスポンダーがダウンすると検証できない問題があるんだ。そこでOCSP Staplingという方式が生まれて、サーバーが事前にOCSP応答を取得してクライアントに渡すことで、この問題を解決しているよ

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「クライアント認証」って出てきたら「サーバーがアクセス元の身元を確認すること」と思えればだいたいOK!
📖 おまけ:英語の意味
「Client Authentication」 = クライアント認証
💬 clientは「顧客・依頼人」の意味で、サービスを利用する側が自分の身元を証明する仕組みだよ
🔗 あわせて読みたい
← 用語集にもどる