認証と認可の違い、説明できる？ 「勇者王ガオガイガー」で解説してみる：架空世界で「認証」を知る（3/4 ページ）

小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第10回のテーマは架空世界の「認証と認可」について。

[朽木海，ITmedia]

「認可」と「認証」は不可分、諸君も人ごとではない

　今回見てきたのは兵器使用の「認可」が先にあり、その後「認証」するというプロセスだったが、通常は「認証」した後で、使用を「認可」するというプロセスを踏むことが多い。これは諸君も経験したことがあるだろう。

　TwitterやFacebookなどのSNSにある「ソーシャルログイン」もその1つだ。SNSに連携したアプリケーションを、IDやパスワードの登録が不要で使用できるようになる機能である。

　仕組みはこうだ。

　まずSNSで、諸君がそのアカウントの持ち主かどうかの「認証」を行う。そして、その連携アプリケーションにSNSの機能を使用させてもよいか「認可」するための画面が表示される。ここでOKすれば、そのアプリケーションにSNSの機能（の一部）を使用できるよう「認可」される。

　Twitterでよく、スパムアプリケーションにアカウントを乗っ取られ、大量のスパムツイートをしてしまった……といった事例があるが、これはスパムアプリケーションに利用者自身が「認可」してしまったからに他ならない。

　「認可」するアプリケーションが自分の思っているようなものか、信頼できる運営者かどうかは適切に見極めないといけない。

　代理認証サービスを運営しているSNS側では、連携アプリケーションの安全性を保証しているとは限らないのだ。これはしっかりと覚えておこう。

　これはTwitterだけではなく、FacebookやInstagramなど、どのSNSでも同様だ。このような代理認証サービスを安易に使うと痛い目に遭うので注意するように！

余談：認可のもっと詳しい話

　セキュリティ業界的に言えば、認可はもうちょっと違う意味に使われる場合も多い。