まず結論

認証・アクセス制御の分野は、「誰か」「何ができるか」「どう制御するか」を切り分けて理解すると、SG試験の選択肢を確実に絞れるようになります。

---

直感的な説明

セキュリティは次の流れで考えると整理できます。

① 本人確認する（認証）
② できることを決める（認可）
③ 実際に制御する（アクセス制御）

---

さらに👇

• 認証を強くする → MFA
• 認証を便利にする → SSO
• 状況で変える → RBA
• 全体思想 → ゼロトラスト

👉
役割ごとに分けると混乱しない

---

定義・仕組み

■ 基本の3つ（最重要）

• 認証（Authentication） → 本人確認
• 認可（Authorization） → 権限決定
• アクセス制御 → 実際の制御

👉 SG試験はここをよく混同させる

---

用語まとめ（リンク集）

■ 認証系

• 多要素認証（MFA）
• リスクベース認証（RBA）

---

■ 認証基盤・利便性

• シングルサインオン（SSO）
• IdP（認証サーバ）
• トークン認証（SAML / OAuth / OIDC）

---

■ 権限・制御

• アクセス管理
• 特権ID管理
• アクセス制御モデル（RBACなど）

---

■ 全体思想

• ゼロトラスト
• 境界防御

---

どんな場面で使う？

■ SG試験での使い方

この分野は👇

• 用語を覚える問題ではない
• 「どの役割か」を判断する問題

として出題されます。

---

👉 例えば👇

• 本人確認 → 認証
• 権限設定 → 認可
• ログイン後の制御 → アクセス制御

---

よくある誤解・混同

❌ 認証と認可を混同

→ ⭕

• 認証＝本人確認
• 認可＝権限

---

❌ MFAとRBAを混同

→ ⭕

• MFA＝常に強い
• RBA＝状況で変える

---

❌ SSOでセキュリティが上がる

→ ⭕ 利便性向上（リスク集中あり）

---

❌ ゼロトラスト＝ツール

→ ⭕ 考え方

---

SG試験での判断軸（最重要）

👉 迷ったらこの順で考える

1. 認証か？認可か？
2. 常に同じか？条件で変わるか？
3. 内部を信頼しているか？

---

👉 これだけでかなり切れる

---

まとめ（試験直前用）

• 認証＝本人確認、認可＝権限、制御＝実行
• MFA＝強化、SSO＝利便性、RBA＝調整
• ゼロトラスト＝一切信用しない
• SGは「役割の違い」で解く試験

👉 判断基準

• 何をしている？（認証？認可？）
• 条件で変わる？
• 内部を信頼している？

🔗 関連記事

• アクセス制御モデルとは？RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
• アクセス管理とは？特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
• 監査ログとは？不正検知と追跡の基本【SG試験】
• 認証・認可・アクセス制御の違いとは？役割の切り分けを整理【情報セキュリティマネジメント】
• 認証方式とは？3要素と多要素認証を整理【SG試験】

---

🏠 情報セキュリティマネジメントトップに戻る

← アクセス制御モデルとは？RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】 トークン認証とは？SAML・OAuth・OIDCの違いを整理【情報セキュリティマネジメント】 →