sg sg-security-measures access_control crypto_auth
まず結論
認証は「誰かを確認する」、認可は「何ができるかを決める」、アクセス制御は「それを仕組みとして実現する」であり、SG試験ではこの役割の違いを正しく切り分けられるかが重要です。
直感的な説明
システムを使う流れは、次の3ステップで考えると分かりやすいです。
① 本人確認する
② できることを決める
③ 実際に制御する
たとえば👇
- ログインする → 認証
- 管理画面が使えるか決まる → 認可
- 実際にアクセスできる → アクセス制御
👉
順番で覚えると混乱しません
定義・仕組み
■ 認証(Authentication)
- 本人であることを確認する
例:
- ID・パスワード
- 多要素認証
👉 ポイント
「誰か」を確認する
■ 認可(Authorization)
- 認証されたユーザに対して、何を許可するか決める
例:
- 一般ユーザは閲覧のみ
- 管理者は編集可能
👉 ポイント
「何ができるか」を決める
■ アクセス制御(Access Control)
- 認可の内容に基づいて、実際にアクセスを制御する仕組み
例:
- 権限がなければ画面に入れない
- データ操作を制限する
👉 ポイント
決めたルールを“実際に適用する”
どんな場面で使う?
■ 使う場面
- システム設計
- セキュリティ対策の検討
👉 SG試験では
「どの段階の話か」を問われます。
■ 使うと誤解しやすい場面
- 認証=権限管理と思ってしまう
- アクセス制御=認可と混同する
👉
この3つは役割が違う
よくある誤解・混同
❌ 「認証すれば何でもできる」
→ ⭕ 認証は入口、権限は別
❌ 「認可=アクセス制御」
→ ⭕
- 認可 → ルールを決める
- アクセス制御 → 実際に制御する
❌ 「アクセス制御=ログイン」
→ ⭕ ログインは認証
■ SG試験でのひっかけ
- 「本人確認」→ 認証
- 「権限設定」→ 認可
- 「制御する仕組み」→ アクセス制御
👉
“何をしているか”で分類する
まとめ(試験直前用)
- 認証=本人確認
- 認可=権限決定
- アクセス制御=実行
- 順番で覚える(認証→認可→制御)
- SGでは「どの段階か」で選択肢を切る
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】
- アクセス制御(認可)とは?認証との違いを整理【SG試験】