認証と認可の違いとは？アクセス制御を一発で整理【DS検定】

DS検定トップ＞認証と認可の違いとは？アクセス制御を一発で整理【DS検定】

まず結論

認証（Authentication）は「その人が誰なのかを確認すること」
認可（Authorization）は「その人に何をしてよいかを決めること」

DS検定では、「本人確認」と「権限付与」を混同していないかを問う問題がよく出ます。

直感的な説明

会社のオフィスに入る場面を想像すると分かりやすいです。

受付で社員証を見せる
→ その人が誰か確認する（認証）
社員証の種類によって入れる部屋が決まる
→ どこまで入れるか決める（認可）

つまり

認証：あなたは誰？
認可：あなたは何ができる？

という役割の違いがあります。

この順番も重要で、

認証 → 認可

の順で処理されます。

本人確認ができていない状態では、権限を与えることができないためです。

定義・仕組み

認証（Authentication）

認証とは、

ユーザーが「本人であること」を確認する仕組み

です。

代表的な方法には次のものがあります。

IDとパスワード
ワンタイムパスワード
指紋・顔認証などの生体認証
ICカード

つまり、

「あなたは誰ですか？」を確認する処理

です。

認可（Authorization）

認可とは、

認証されたユーザーに対して、どこまで操作を許可するかを決めること

です。

例えば次のような制御があります。

ユーザー	できること
一般社員	データ閲覧のみ
マネージャー	閲覧 + 更新
管理者	閲覧 + 更新 + 削除

このように、

データ閲覧
データ更新
機能利用

などのアクセス権限を管理する仕組みが認可です。

アクセス制御のレベル

DS検定では、アクセス権管理が複数のレベルで行われることも理解しておく必要があります。

代表的な例は次の3つです。

① OSレベル

ファイルの閲覧
書き込み
実行

などをユーザーごとに制御します。

例
Linuxのファイル権限など

② ネットワークレベル

ネットワーク機器でアクセス元を制御します。

例

ファイアウォール
VPN
IP制限

③ アプリケーションレベル

アプリケーション内部で権限を制御します。

例

管理者だけ設定変更できる
一般ユーザーは閲覧のみ

実際のシステムでは

OS / ネットワーク / アプリ

の複数の層でアクセス制御が行われます。

どんな場面で使う？

認証と認可は、ほぼすべての情報システムで使われています。

例えば次のような場面です。

社内データベース

社員ログイン → 認証
部署ごとに閲覧できるデータ制限 → 認可

クラウドサービス

Googleアカウントログイン → 認証
編集者 / 閲覧者の権限設定 → 認可

社内システム

VPN接続時のログイン → 認証
システム管理画面の操作権限 → 認可

データサイエンスの実務でも

顧客データ
個人情報
機密データ

を扱うため、

適切なアクセス制御は非常に重要です。

よくある誤解・混同

誤解①

認証＝アクセス権管理

これは誤りです。

認証は

「誰か確認する」

だけです。

その後に

認可（アクセス権管理）

が行われます。

誤解②

ログイン＝認可

これも誤りです。

ログインは

認証の一部

です。

ログイン後に

閲覧権限
編集権限
管理権限

などが決まります。

DS検定の典型ひっかけ

DS検定では次のような形で出題されます。

例：

「ユーザーがデータベースにアクセスできるかを判断する仕組み」

ここで

本人確認 → 認証
アクセス許可 → 認可

を正しく区別できるかが問われます。

選択肢では

認証
認可
暗号化
アクセス制御

などが混ざることが多いので注意が必要です。

まとめ（試験直前用）

認証：その人が誰か確認する
認可：その人に何を許可するか決める
順序は 認証 → 認可
アクセス制御は OS / ネットワーク / アプリの複数層で行われる
DS検定では 本人確認と権限管理の違いを問う問題がよく出る

対応スキル項目（データエンジニアリング力シート）

スキルカテゴリ名：ITセキュリティ
サブカテゴリ名：攻撃と防御手法

★ OS、ネットワーク、アプリケーション、データに対するユーザーごとのアクセスレベルを手順に従い設定できる

🔗 関連記事

🏠 DS検定トップに戻る