「このアプリが写真を見ていいですか?」って聞かれたり、「あの人には編集権限がない」って言われたり、日常生活でも「認可」って言葉が出てくるよね。でも実は、認可って何なのか、認証と何が違うのか、ちゃんと説明できる人は意外と少ないんだ。この記事を読めば、認可がどういう仕組みで、なぜ大事なのかが、スッキリわかるようになるよ。
- 認可とは「あなたは何ができるか」という権限を決めることで、本人確認の認証とは別の仕組み
- 認可はセキュリティをまもるために使われ、誰もが全部できるわけじゃなくて役割ごとに権限が違う
- スマートフォンのアプリ権限からサーバーのアクセス管理まで、あらゆるところで認可が使われてる
もうちょっと詳しく
認可っていうのは、簡単に言うと「権限を与える」「誰が何をできるか決める」ということ。ITの世界では特に重要な考え方で、データベースのサーバーだったり、企業のシステムだったり、あらゆるところで「あなたは読む権限がある」「あなたは削除する権限がない」という風に細かく決めてある。だからこそ、誰かが勝手に大切なデータを削除したり、見てはいけないファイルを見たりするのを防ぐことができるんだ。認可がなかったら、誰もが何でも自由にできちゃって、情報が盗まれたり改ざんされたり、大変なことになっちゃうんだよ。
認可 = 誰が何をできるか
⚠️ よくある勘違い
→ 認証は本人確認、認可は権限付与。別の仕組みだから、認証があっても認可がなければアクセスできないんだよ。
→ この二つのステップがあるから、システムが安全に動くんだ。
[toc]
認可って何?本当の意味を知ろう
認可ってよく聞く言葉だけど、実は「権限を与える」「誰が何をできるか決める」っていう意味なんだ。これは企業のパソコンでもスマートフォンでも、オンラインゲームでも、あらゆるところで使われてる大事な仕組み。
具体的に説明すると、例えばあなたが友だちと一緒にクラウドストレージに写真を保存してるとしよう。その時に、Aさんには「写真を見る権限と、自分の写真をアップロードする権限」を与えるけど、「他の人の写真を削除する権限」は与えない、みたいなね。こういう風に「このひとは何ができるか」「このひとは何ができないか」を決めるのが認可だ。
認可がないと、誰もが何でも自由にできちゃって、大変なことになっちゃう。例えば、学校の先生が全員、生徒全員の個人情報(住所とか電話番号)を削除できたら、危ないよね。だから「この先生には修正権限があるけど、削除権限がない」みたいに細かく決めるんだ。認可はセキュリティをまもるために、絶対に必要な仕組みなんだよ。
認証と認可は別物
でね、認可と認証はよく混同されるんだけど、これは全然別の仕組みなんだ。認証ってのは「あなたが本当にその人ですか?」って確認することで、つまり身分確認だね。パスワードを入力して「あ、あなたは田中太郎さんだ」って確認するのが認証だ。
一方、認可は「あなたはここに入れます」「あなたはここには入れません」って権限を決めるんだ。つまり、認証で本人確認をした後に、「本人だとわかったね。では、あなたは何ができますか」って権限を決める。この二つのステップがあるから、システムが安全に動くんだよ。
学校で例えるなら、朝、正門で「あなたは〇〇中学校の3年生ですね」って学生証で確認されるのが認証。そして校舎に入ったあとに「3年生のあなたは、特別教室の鍵を持ってる先生と一緒なら入れるけど、一人では入れません」とか「図書委員のあなただけが図書室の鍵を持てます」って決めるのが認可だ。
スマートフォンで認可が活躍する場面
スマートフォンを使ってると、「このアプリがカメラにアクセスしてもいいですか?」「このアプリが位置情報を見てもいいですか?」みたいなメッセージが出てくるよね。あの時の「いいです」「ダメです」の選択が、実は認可を決めてるんだ。
例えば、SNSアプリが「写真フォルダにアクセスしたい」って言ってきたら、あなたが「いいよ」って言うことで、「SNSアプリには写真フォルダを見る権限がある」という認可が生まれる。逆に「ダメです」って言ったら、「SNSアプリは写真フォルダを見られない」という認可が生まれるわけだ。
このシステムがあるから、勝手なアプリが勝手にあなたの個人情報を全部読み取っちゃう、みたいなことが防げるんだよ。スマートフォンのメーカーが「アプリに権限を決めさせてね」って仕組みを作ったおかげで、あなたが安心して使えるようになってるんだ。
アプリの権限はいつでも変えられる
大事なポイントは、アプリの権限って、いつでも変えられるってことだ。例えば、最初は「位置情報を見ていい」って許可したけど、今は「見ないでほしい」って思ったら、設定からいつでも権限を取り消せるんだよ。
だからね、もし「このアプリ、カメラにアクセスする必要ないのに、なんで要求してくるんだろう」って思ったら、権限を外しちゃえばいい。アプリの機能が制限されるかもしれないけど、あなたのプライバシーを守る方が大事だからね。
企業のシステムでも認可は重要
企業のパソコンやサーバーでも、認可は超大事なんだ。例えば、営業部の田中さんと企画部の佐藤さんがいるとしよう。営業部の売上データって、営業さんが見る必要があるけど、企画さんが見る必要はないよね。だから企業のシステムでは「営業部のひとには売上データの閲覧権限がある」「企画部のひとには閲覧権限がない」みたいに細かく決めてるんだ。
さらに、同じ営業部の中でも権限が違ったりする。例えば、営業部長には「営業部のファイルを全部見る権限」と「ファイルを削除する権限」があるけど、新人営業さんには「自分の営業地域のデータだけ見る権限」みたいに決めてることもある。こういう風に、役割に応じて権限を分けることを「役割ベースのアクセス制御」って言うんだけど、つまり役割に応じて「できることとできないことを決める」ってことなんだ。
このシステムがあるから、新人さんが勝手に全部のファイルを削除しちゃったり、見てはいけない情報を漏らしちゃったりするのを防げるんだよ。企業の大事なデータや個人情報を守るために、認可は絶対に必要な仕組みなんだ。
管理者権限と一般ユーザー権限
企業のパソコンで「管理者権限」って言葉を聞いたことあるかな。これは認可の最高レベルみたいなもので、管理者権限を持ってる人は、ほぼ全てのファイルにアクセスできたり、ソフトウェアをインストールしたり、他のユーザーの権限を変えたり、すごい広い範囲で「何でもできる」って決まってるんだ。
一方、一般ユーザー権限だと「このファイルフォルダだけ見られる」「ソフトウェアはインストールできない」って制限がある。なぜこんなふうに分けるのかって言うと、セキュリティを守るためだね。もしウイルスに感染してたプログラムが走ったとしても、管理者権限があったら、コンピュータ全体を破壊されちゃうけど、一般ユーザー権限だったら、その人のフォルダだけの被害で済むってわけだ。
認可がないとどんなことが起こる?
認可がないと、本当に危ないことになるんだ。例えば、病院のシステムで患者さんの個人情報が全員見られるとしよう。そしたら、看護師さんが患者さんの住所や電話番号や病歴を、誰かに売っちゃおうって思ったら、簡単にできちゃう。それに、ハッカーが病院のシステムに侵入したら、全患者さんの個人情報を盗み放題だ。こんなん、本当に怖いよね。
だから、病院では「この先生は患者さんの診療情報を見られます」「この事務員さんは保険情報だけ見られます」「この看護師さんは処方箋を変えられますけど、薬の在庫は変えられません」みたいに、細かく権限を決めてるんだ。こうすることで、もし誰かが不正をしようとしても、できる範囲が限られるし、誰が何をしたかも記録されるから、すぐにばれちゃう。
認可ってのは、こういう風に「悪いことを防ぐため」「大事なものを守るため」に使われてるんだよ。だから「認可」は単なる「技術」じゃなくて、セキュリティと信頼を守るための「考え方」なんだ。
認可漏れが起こるとどうなる?
時々、企業のシステムで「認可漏れ」が起こることがある。これは「本来なら見られるはずじゃない情報が見られちゃった」「削除できるはずじゃない権限で削除しちゃった」みたいなことだね。
例えば、ショッピングサイトで「自分の注文履歴だけ見られるはず」なのに、プログラムのミスで「他人の注文履歴も見られちゃった」みたいなね。これは「バグ」と呼ばれるプログラムの間違いなんだけど、ユーザーの個人情報が漏れちゃう危険な問題なんだ。だから、企業のプログラマーやセキュリティの人たちは、こういう認可漏れがないか、何度も何度もテストして確認してるんだよ。
認可の種類と考え方
認可にはいろいろな種類があって、システムやサービスによって使い分けられてるんだ。基本的な考え方を知っておくと、パソコンやスマートフォンを使う時に「あ、これって何の権限だ」ってわかるようになるよ。
読む権限・書く権限・削除する権限
最も基本的な認可の考え方は、ファイルやデータを「読む」「書く(変更する)」「削除する」の三つに分けることだ。
例えば、クラウドストレージにグループで使うフォルダがあるとしよう。そこで「Aさんは読む権限だけ」「Bさんは読む権限と書く権限」「Cさんはぜんぶの権限」みたいに分けたりするんだ。こうすることで「Aさんは新しいファイルをアップロードできないけど、Bさんはできる」とか「Aさんが間違ってファイルを削除しちゃう心配がない」とか、細かく管理できるんだよ。
役割ベースの認可
企業のシステムでは、「このひとは何ができるか」じゃなくて「この役割の人は何ができるか」って決めることが多いんだ。例えば「営業部長」「新人営業」「事務」「管理者」みたいな役割があって、役割ごとに認可を決めるわけだね。
こうすると、新しい人が入ってきた時に「営業部長の権限をコピー」みたいに簡単に権限を決められるし、誰かが役職が変わった時に「営業部長から営業に変更」って一気に権限を変えられるんだ。個別に「このファイルを見られるようにして」「あのファイルは見られないようにして」って一個一個やってたら、大変だからね。
時間制限付きの認可
認可の中には「期間限定」ってものもあるんだ。例えば「インターンシップの学生さんには、8月末までこのプロジェクトのファイルを見る権限」みたいに、自動的に期限が来たら権限がなくなるようにしてることもある。
こうすることで「期間が終わったのに権限を取り消すのを忘れた」みたいなセキュリティ問題を防げるんだよ。自動で「期限が来たから権限を削除しよう」ってコンピュータが判断してくれるから、人間が忘れちゃっても大丈夫なんだ。
認可と「最小権限の原則」
セキュリティの世界には「最小権限の原則」って考え方があるんだ。つまり「必要最小限の権限だけを与える」ってことなんだよ。
例えば、ファストフード店でバイトしてる人を考えてみてね。レジを打つときに「売上データ」は見る権限が必要だけど「オーナーのパスワード」を見る権限は必要ないよね。だから「売上データだけ見られる権限」を与えるんだ。こうすることで「もしバイトの人がコンピュータウイルスに感染してたら、見られる情報を少なく」できるし「もしバイトの人が不正をしようとしても、できることが限られる」ってわけだ。
大企業でも、一般社員に管理者権限を与えないのはこの「最小権限の原則」だからなんだ。もし全員に管理者権限を与えたら、誰かが不注意でウイルスを起動させたり、誰かが不正をしようとしたら、会社全体が被害を受けちゃう。だから「営業さんには営業データだけ」「事務さんには事務データだけ」みたいに、役割に応じた最小限の権限を与えてるんだよ。
権限が多すぎるとどうなる?
権限が多すぎると、本当に危ないんだ。例えば、あなたのスマートフォンのすべてのアプリに「連絡先を見る権限」「位置情報を見る権限」「カメラの権限」を与えちゃったとしよう。そしたら、悪意あるアプリが、あなたの友だちの電話番号を全部盗み取ったり、あなたの居場所をずっと追跡したり、カメラで隠れてる姿を撮ったりできちゃう。怖いよね。
だから、スマートフォンで「このアプリは何の権限がいりますか?」って聞かれるのは、本当にいいシステムなんだ。あなた自身が「このアプリには本当にカメラが必要なの?」「位置情報が必要なの?」って考えて、必要なものだけ権限を与えられるからね。これが「最小権限の原則」を、あなた自身が実行してるってわけだ。
