最終更新日:2026年5月20日
sg sg-security-measures access_control crypto_auth
まず結論
認証は「誰かを確認する」、認可は「何ができるかを決める」、アクセス制御は「それを仕組みとして実現する」であり、SG試験ではこの役割の違いを正しく切り分けられるかが重要です。
このページで切り分けること(先にここだけ)
このページは、認証・認可・アクセス制御の役割分担を中心に整理します。
- 認証:その人が誰かを確認する
- 認可:認証後に何を許可するか決める
- アクセス制御:決めた権限どおりに通す/拒否する
迷ったら、 「誰を確認する話か」「何を許可する話か」 を先に見ます。
SG試験で選択肢を切る判断軸(認証・認可・アクセス制御編)
-
「ID・パスワード、多要素認証などで本人確認する」 → 認証
-
「管理者だけ編集可、一般利用者は閲覧のみ」 → 認可
-
「権限がない操作を実行時に拒否する」 → アクセス制御
関連記事との役割分担(混同防止)
- 認可を中心に確認したい → アクセス制御(認可)とは?認証との違いを整理【SG試験】
- アクセス管理の運用まで確認したい → アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- 認証方式を確認したい → 認証方式とは?3要素と多要素認証を整理【SG試験】
直感的な説明
システムを使う流れは、次の3ステップで考えると分かりやすいです。
① 本人確認する
② できることを決める
③ 実際に制御する
たとえば👇
- ログインする → 認証
- 管理画面が使えるか決まる → 認可
- 実際にアクセスできる → アクセス制御
👉
順番で覚えると混乱しません
定義・仕組み
■ 認証(Authentication)
- 本人であることを確認する
例:
- ID・パスワード
- 多要素認証
👉 ポイント
「誰か」を確認する
■ 認可(Authorization)
- 認証されたユーザに対して、何を許可するか決める
例:
- 一般ユーザは閲覧のみ
- 管理者は編集可能
👉 ポイント
「何ができるか」を決める
■ アクセス制御(Access Control)
- 認可の内容に基づいて、実際にアクセスを制御する仕組み
例:
- 権限がなければ画面に入れない
- データ操作を制限する
👉 ポイント
決めたルールを“実際に適用する”
どんな場面で使う?
■ 使う場面
- システム設計
- セキュリティ対策の検討
👉 SG試験では
「どの段階の話か」を問われます。
■ 使うと誤解しやすい場面
- 認証=権限管理と思ってしまう
- アクセス制御=認可と混同する
👉
この3つは役割が違う
よくある誤解・混同
❌ 「認証すれば何でもできる」
→ ⭕ 認証は入口、権限は別
❌ 「認可=アクセス制御」
→ ⭕
- 認可 → ルールを決める
- アクセス制御 → 実際に制御する
❌ 「アクセス制御=ログイン」
→ ⭕ ログインは認証
■ SG試験でのひっかけ
- 「本人確認」→ 認証
- 「権限設定」→ 認可
- 「制御する仕組み」→ アクセス制御
👉
“何をしているか”で分類する
確認問題(SG試験対策)
認証・認可・アクセス制御の関係として、最も適切なものはどれか。
- ア. 認可で本人確認し、認証で権限を決める。
- イ. 認証で本人確認し、認可で許可範囲を決め、アクセス制御で実際に制限を適用する。
- ウ. アクセス制御はログ取得だけを行い、許可判定はしない。
- エ. 認証は不要で、認可だけあれば安全性は担保できる。
▶ クリックして答えと解説を見る(ここを開く)
正解:イ
解説
- ア:認証と認可が逆です。
- イ:用語の役割と順序が正しいです。
- ウ:アクセス制御は実際の許可/拒否を実施します。
- エ:誰か不明のままでは適切な権限付与ができません。
👉 判断ポイント
「認証→認可→制御適用」の流れで覚える。
まとめ(試験直前用)
- 認証=本人確認
- 認可=権限決定
- アクセス制御=実行
- 順番で覚える(認証→認可→制御)
- SGでは「どの段階か」で選択肢を切る