ITmedia NEWS > セキュリティ >
ニュース
» 2019年02月21日 07時00分 公開

架空世界で「認証」を知る:認証と認可の違い、説明できる? 「勇者王ガオガイガー」で解説してみる (3/4)

[朽木海,ITmedia]

「認可」と「認証」は不可分、諸君も人ごとではない

 今回見てきたのは兵器使用の「認可」が先にあり、その後「認証」するというプロセスだったが、通常は「認証」した後で、使用を「認可」するというプロセスを踏むことが多い。これは諸君も経験したことがあるだろう。

 TwitterやFacebookなどのSNSにある「ソーシャルログイン」もその1つだ。SNSに連携したアプリケーションを、IDやパスワードの登録が不要で使用できるようになる機能である。

 仕組みはこうだ。

 まずSNSで、諸君がそのアカウントの持ち主かどうかの「認証」を行う。そして、その連携アプリケーションにSNSの機能を使用させてもよいか「認可」するための画面が表示される。ここでOKすれば、そのアプリケーションにSNSの機能(の一部)を使用できるよう「認可」される。

 Twitterでよく、スパムアプリケーションにアカウントを乗っ取られ、大量のスパムツイートをしてしまった……といった事例があるが、これはスパムアプリケーションに利用者自身が「認可」してしまったからに他ならない。

 「認可」するアプリケーションが自分の思っているようなものか、信頼できる運営者かどうかは適切に見極めないといけない。

 代理認証サービスを運営しているSNS側では、連携アプリケーションの安全性を保証しているとは限らないのだ。これはしっかりと覚えておこう。

 これはTwitterだけではなく、FacebookやInstagramなど、どのSNSでも同様だ。このような代理認証サービスを安易に使うと痛い目に遭うので注意するように!

認証

余談:認可のもっと詳しい話

 セキュリティ業界的に言えば、認可はもうちょっと違う意味に使われる場合も多い。

Copyright © ITmedia, Inc. All Rights Reserved.