本文へスキップ
スキルアップカレッジ

認証と認可——「あなたは誰か」「何ができるか」

レッスン3:認証認可——「あなたは誰か」「何ができるか」

このレッスンで学ぶこと

  • 認証(Authentication)と認可(Authorization)の違いを区別できる
  • パスワードの問題と、強いパスワード設計の現実解を持つ
  • MFA(多要素認証)の意味と、実務で使える形を理解する
  • SSO(シングルサインオン)の利便性とリスクを把握する
  • パスキーなど、パスワードに代わる新しい認証方式の動向を知る
  • 最小権限の原則(Principle of Least Privilege)を意識した運用ができる

前のレッスンでは、リスク・脅威・脆弱性の関係と攻撃者の動機を整理しました。本レッスンでは、すべての社員に直結する基本機能——認証と認可——を扱います。パスワードを変えること、MFA を有効にすること、共有しないこと。地味ですが、これらが組織のセキュリティの 7〜8 割を支えます。

認証と認可——別の概念

「認証」と「認可」は、似た言葉として混同されがちですが、別の概念です。

用語 英語 意味
認証 Authentication 「あなたは誰か」を確認する
認可 Authorization 「あなたは何ができるか」を決める

例えば社員食堂に入るシナリオを考えます。

  • 認証:入口で社員証をかざす → 「あなたは○○さんですね」と本人確認
  • 認可:「○○さんは社員食堂を使える権限がある」と判断 → 入場許可

技術用語としても同じ構造です。ログインが成功したかどうかが「認証」、ログイン後に何ができるかが「認可」です。

💡 ポイント 「認証」と「認可」を混同していると、トラブル時の議論が噛み合いません。「パスワードが漏れた」のは認証の問題、「権限が広すぎた」のは認可の問題。両者を区別することで、対策の議論が具体化します。

パスワードの問題

認証の最も基本的な方法が、パスワードです。一方で、パスワードは数々の問題を抱えています。

パスワードが破られる経路

  • 総当たり攻撃(ブルートフォース):全パターンを試す。短いパスワードや単純なパスワードは数秒で破られる
  • 辞書攻撃:よくある単語や過去の漏洩パスワード一覧から試す
  • クレデンシャルスタッフィング:別サービスから漏れた ID/パスワードを別サービスでそのまま使う
  • フィッシング:偽サイトに入力させて盗む
  • ショルダーハッキング:肩越しに見られる
  • キーロガーマルウェアでキー入力を盗む

強いパスワードの条件

  • 長い:12 文字以上を推奨。10 文字未満は短時間で破られる
  • 複雑:英大小文字+数字+記号を混ぜる
  • 予測されない:辞書にある単語、誕生日、家族の名前を含めない
  • 使い回さない:1 サービスごとに違うパスワード

「強い × 覚えやすい」の両立

人間が記憶できるパスワード数には限界があります。すべてのサービスに強くて違うパスワードを使うことは、現実的に不可能です。

解決策は次の 2 つです。

  • パスワードマネージャー:1Password、Bitwarden、Apple のパスワード、Google パスワードマネージャーなど。マスターパスワード 1 つだけ覚えればよい
  • パスフレーズ:単語を 4〜5 個つないだ長いフレーズ(例:correct-horse-battery-staple)。記憶しやすく、ブルートフォースには強い

「90 日ごとに変更」の見直し

かつて「パスワードは定期的に変更すべき」とされていましたが、近年の研究で「強制的な定期変更は、かえって弱いパスワードを生む(覚えやすくするため)」ことがわかりました。米国 NIST(米国国立標準技術研究所)も 2017 年以降、定期変更を必須としない方針に転換しました。

代わりに重要なのは、「漏洩の兆候があれば即変更」「強くて使い回さない」「MFA を併用」 の 3 つです。

⚠️ 注意 「うちの会社はまだ 90 日変更ルールがある」という方もいるはずです。組織のルールに従う必要はありますが、できれば NIST の最新動向を踏まえて、ルールの見直しを情報セキュリティ部門に提案する余地があります。

MFA(多要素認証)

MFA(Multi-Factor Authentication、多要素認証)は、認証を強化する最も効果的な仕組みです。

3 つの要素

認証の要素は、伝統的に 3 種類に分類されます。

要素 内容
知識要素 あなたが「知っている」もの パスワード、PIN、秘密の質問
所有要素 あなたが「持っている」もの スマホ、ハードウェアトークン、社員証 IC カード
生体要素 あなた自身の「身体的特徴」 指紋、顔、虹彩、声紋

「多要素認証」とは、これら 3 つのうち 2 つ以上を組み合わせる認証です。

典型的な MFA の組み合わせ

  • パスワード(知識)+スマホへのワンタイムコード(所有)
  • 指紋(生体)+PIN(知識)
  • IC 社員証(所有)+ PIN(知識)

MFA の効果

Microsoft の研究(2019 年)では、MFA を有効にすると、自動化された攻撃の 99.9% 以上を防げると報告されています。MFA は「銀の弾丸」ではありませんが、それに近いほどの効果があります。

MFA の方式と強度

  • SMS によるワンタイムコード:簡便だが、SIM スワップ攻撃で破られる例あり。「無いよりは良い」レベル
  • 認証アプリ(Google Authenticator、Microsoft Authenticator など):SMS より強い
  • ハードウェアトークン(YubiKey など):最も強力。フィッシング耐性あり
  • プッシュ通知認証:スマホアプリに承認を求める方式。便利だが「MFA 疲労攻撃」のリスクあり

💡 ポイント 「MFA は面倒だから無効化したい」という社員の声を聞くことがあります。確かに少し手間が増えますが、その手間で 99.9% の攻撃を防げます。「ベルトとシートベルトで車を守るようなもの」と捉えると、納得できる範囲のはずです。

SSO(シングルサインオン)

SSO(Single Sign-On)は、1 度のログインで複数のサービスを使えるようにする仕組みです。

仕組み

  • 中心となる「IdP(Identity Provider、認証基盤)」が認証を担う
  • 各サービスは IdP を信頼し、IdP の認証結果を受け入れる
  • ユーザーは IdP に 1 度ログインすれば、それ以降のサービス利用で再ログインが不要

代表的な IdP として、Microsoft Entra ID(旧 Azure AD)、Google Workspace、Okta、Auth0 などがあります。

メリット

  • ユーザー体験:何度もログインする手間が省ける
  • セキュリティ:認証を 1 つの強い基盤に集約できる(MFA を IdP に集約)
  • 管理性:退職者のアクセスを 1 か所で停止できる
  • 監査性:ログインログを集中管理できる

リスク

  • 集中点障害:IdP が侵害されると全サービスが影響を受ける
  • 依存リスク:IdP が停止すると全サービスにログインできなくなる
  • 設定ミスの影響範囲が広い:1 か所の設定ミスが全社的な影響に

対策

  • IdP には最強の MFA を必須にする
  • IdP のログを継続的に監査する
  • 重要システムには、SSO に加えて追加の認証を要求する
  • IdP の冗長化と災害対策を講じる

📝 補足 SSO を導入していない組織でも、Microsoft 365 や Google Workspace を使っていれば、それらが事実上の IdP として機能していることが多いです。「自社の認証基盤は何か」を一度棚卸しする価値があります。

パスキー——パスワードに代わる新しい認証

パスキー(Passkey)は、パスワードを使わない認証方式として、2022 年から急速に普及しました。Apple、Google、Microsoft の 3 社が共同で推進し、FIDO2 / WebAuthn という標準仕様に基づきます。

仕組み

  • ユーザーのデバイス(スマホ、PC)に「秘密鍵」が安全に保存される
  • サービス側には「公開鍵」のみが登録される
  • 認証時は、デバイスが秘密鍵で署名し、サービスは公開鍵で検証する
  • 秘密鍵はデバイスから出ない

メリット

  • フィッシング耐性:偽サイトに鍵を渡さない設計
  • 使い回しの問題がない:サービスごとに別の鍵
  • 生体認証と統合:指紋・顔認証で鍵を解放
  • パスワードを覚えなくてよい

2026 年時点の普及状況

2026 年 6 月時点で、パスキーは Apple ID、Google、Microsoft アカウントで標準対応し、主要な SaaS(GitHub、Amazon、PayPal、Yahoo! JAPAN など)も対応を進めています。日本のメガバンクや行政サービスでも採用が広がりました。

注意点

  • 全サービスがまだ対応しているわけではない(パスワードとの併用期間)
  • デバイス紛失時のリカバリーを事前に設計する必要がある
  • 企業環境では、IT 部門の準備が必要

💡 ポイント パスキーは「数十年続いたパスワード時代の終わりの始まり」と評されています。すぐ全部置き換わるわけではありませんが、対応サービスでは積極的に有効化する価値があります。

最小権限の原則

認可の世界で最も重要な考え方が、最小権限の原則(Principle of Least Privilege、PoLP)です。

原則

「業務に必要な最低限の権限のみを与え、それ以外は与えない」。

適用例

  • 営業担当者には、顧客 DB の閲覧権限のみ。書き込みは不可
  • 経理担当者には、財務 DB の閲覧と一部更新権限のみ。削除は不可
  • IT 管理者には、必要時のみ管理者権限が付与され、終了後に剥奪される(Just-In-Time)
  • 一般社員のアカウントには、システム管理者権限を持たせない

退職者管理

最小権限の発想で、退職者・異動者の権限管理が重要です。

  • 退職予定者の権限は、退職日に確実に削除
  • 異動者は、新しい役割に必要な権限のみに切り替え(古い権限は剥奪)
  • 半年に 1 度、全社の権限棚卸しを実施

⚠️ 注意 「便利だから」と権限を広げる発想は、現場ではよく見られます。「とりあえず全員に管理者権限」「とりあえず全 DB アクセス可」の設計は、内部不正・うっかりミス・侵害時の被害拡大の源になります。最小権限は、不便さの裏に大きな防御効果を持つ原則です。

講師の現場メモ:「退職者のアカウントが半年残っていた話」

私(関口)が CSIRT リーダーだった頃、社内監査でこんな発見がありました。退職して半年経った元社員のアカウントが、まだアクティブのままだったのです。それも 1 人ではなく、数十人分。

原因を調べると、退職時のチェックリストはあったのですが、「IT アカウントの削除」が複数システムにまたがる作業として整理されておらず、人事システム上は退職処理されているが、SaaS の個別アカウントは残ったまま、ということが多発していました。

特に問題だったのは、「退職後にどれだけ使われているか」を可視化していなかったことです。誰も使っていないアカウントなら被害は限定的ですが、もし悪意のある元社員が退職後にログインを試みていたら、内部情報を取得され放題でした。

幸い、その時点では実害は確認できませんでした。しかし、私たちはすぐに対策を実装しました。

  • 全 SaaS のアカウントを Microsoft Entra ID に集約(SSO 化)
  • 人事システムと Entra ID を連動させ、退職処理と同時にアカウントを自動停止
  • 月次で「最後にログインしてから 90 日以上経過したアカウント」をリスト化、棚卸し
  • 半年に 1 度、全社員の権限を棚卸し(必要のない権限を剥奪)

3 か月後の監査では、退職後のアクティブアカウントはゼロになりました。

このときに学んだのが、「最小権限の原則」は理論ではなく、運用の徹底でしか実現できないということです。チェックリストを作るのは簡単ですが、複数システムにまたがる権限を確実に削除する運用は、地味で根気が要ります。SSO の集約は、この運用負荷を大きく下げてくれる強力な道具でした。

本コースで「最小権限」「退職者管理」「SSO 化」を繰り返し強調するのは、この半年間アクティブだった数十アカウントの記憶があるからです。

まとめ

このレッスンでは、以下のことを学びました。

  • 認証(あなたは誰か)と認可(何ができるか)は別概念
  • パスワードは長さ・複雑さ・予測されにくさ・使い回さないこと
  • 90 日定期変更は NIST も推奨しない。代わりに「強い・使い回さない・MFA」
  • パスワードマネージャーで現実的な運用が可能
  • MFA は知識・所有・生体の 2 要素以上の組み合わせ。99.9% の自動攻撃を防ぐ
  • SSO は利便性と集約防御の利点がある一方、集中点障害のリスクがある
  • パスキー(FIDO2/WebAuthn)はフィッシング耐性のある新しい認証方式で、2026 年時点で普及進行中
  • 最小権限の原則:業務に必要な最低限の権限のみ。退職者・異動者の権限管理が必須

次のレッスンでは、マルウェア・フィッシング・ソーシャルエンジニアリング・BEC など、身近な脅威の手口と対処を扱います。

確認クイズ

このレッスンの理解度をチェックしましょう。