アクセス制御（認可）とは？認証との違いを整理【SG試験】

まず結論

アクセス制御（認可）は、認証された利用者に対して「何ができるか」を決める仕組みです。
SG試験では「認証との違い」を判断させる問題で頻出です。

このページで切り分けること（先にここだけ）

このページでは、次の3つの中でも 「認可（Authorization）」 を中心に見ていきます。

認証：その人が誰かを確かめる（本人確認）
認可：認証のあとで、何をしてよいか決める（権限の決定）
アクセス制御：決めた権限どおりに、通す／止める（実施）

迷ったら、
「誰かを確かめる話」か「何ができるかを決める話」かを先に見ます。
「何ができるか」を決めるなら、認可です。

SG試験で選択肢を切る判断軸（認可編）

アクセス権限表・ロール設計が出る → 認可の話
本人確認の手段（ID・パスワード、多要素認証など）の説明
→ これは認証の話（認可そのものではない）
操作できる範囲の決定（閲覧のみ／編集可／管理者のみ実行可）の説明
→ これは認可の話
決めた権限どおりに、実際に通す・拒否する仕組みの説明
→ これはアクセス制御の話
「ログインできた＝何でもできる」 と読める選択肢
→ 誤り。ログイン後も、認可で操作範囲は制限される

直感的な説明

「会社の入館」をイメージすると分かりやすいです。

認証 → 本人確認（社員かどうか）
認可 → 入れる場所の制限（会議室だけ？全フロア？）

👉
本人かどうか（認証）と、何ができるか（認可）は別です。

定義・仕組み

アクセス制御（認可）は、

認証後のユーザに対して
利用できる資源（ファイル・機能など）や操作

を制限する仕組みです。

主な方式

① DAC（任意アクセス制御）

資源の所有者がアクセス権を決める
👉 柔軟だが管理が複雑

② MAC（強制アクセス制御）

システムがルールに基づいて制御
👉 セキュリティレベル重視

③ RBAC（ロールベースアクセス制御）

役割（ロール）で権限を管理
👉 実務で最もよく使われる

例：

管理者 → 全操作可能
一般社員 → 閲覧のみ

SG試験では
「ロールで管理 → RBAC」がよく出ます。

どんな場面で使う？

使う場面

社内システムの権限管理
ファイル共有のアクセス制限
クラウドサービスの権限設定

👉 現場では
「必要な人だけに必要な権限を与える」ために使う

使うと誤解しやすい場面

ログイン処理
→ それは認証（認可ではない）

よくある誤解・混同

SG試験の最重要ポイントです。

❌ 認証＝アクセス制御

→ ⭕

認証：本人確認
認可：権限の決定

❌ ログイン成功＝すべて操作可能

→ ⭕
ログイン後も権限によって制限される

❌ RBACはユーザごとに設定

→ ⭕
ロール単位で管理するのが特徴

❌ アクセス制御は不要

→ ⭕
認証だけでは不正操作を防げない

👉 SG試験では
「本人確認か？権限制御か？」で切り分けるのが最重要です。

判断軸の再確認（確認問題の前に）

目的を先に見る：この対策・用語は「予防」「検知」「対応」のどこを担うか。
対象を切り分ける：ネットワーク／端末／利用者／運用手順のどこに効くか。
選択肢の言い過ぎに注意：「必ず」「完全に」「不要になる」といった断定は誤りになりやすい。

確認問題（SG試験対策）

次のうち、最も適切なものはどれか。

ア. 利用者本人かを確認する処理である。
イ. 利用者に許可された操作範囲を決定する処理である。
ウ. 通信データの改ざん検知を行う処理である。
エ. パスワードの複雑性を評価する処理である。

▶ クリックして答えと解説を見る（ここを開く）

正解：イ

解説

ア：不適切。これは認証(Authentication)です。
イ：適切。認可は「何をしてよいか」を決める制御です。
ウ：不適切。改ざん検知は完全性確保の領域です。
エ：不適切。パスワードポリシー管理の話です。

👉 判断ポイント
認証は「あなたは誰か」、認可は「何ができるか」。

まとめ（試験直前用）

認可は何ができるかを決める仕組み
認証とは別（順番は認証 → 認可）
RBACが実務で主流
最小権限の原則が重要

👉 判断基準
本人確認 → 認証
権限の決定 → 認可

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る