情報セキュリティ・キーワード 2025 ⑤ 認証・認可・アカウンティング (AAA)

ユーザーやシステムの「本人確認（認証）」「権限付与（認可）」「利用状況記録（アカウンティング）」を安全に行うための多様な技術と仕組みに関わるキーワードを取り上げます。

• 5.1 認証技術（パスワード、多要素認証、生体認証、PKI）
• 5.2 認可の仕組み（RBAC、ABAC）
• 5.3 アカウンティング (Accounting)

5.1 認証技術（パスワード、多要素認証、生体認証、PKI）

認証 (Authentication)
ユーザーやデバイスが、主張している通りの本人（または実体）であることを確認するプロセス。

パスワード (Password)
ユーザーが本人であることを証明するために使用する文字列。パスワードポリシー（複雑性、長さ、有効期限など）が重要。

パスワードハッシュ (Password Hash)
パスワードを元の文字列に戻せない一方向の関数（ハッシュ関数）によって変換した値。パスワードそのものではなくハッシュ値を保存することで、万一情報が漏洩してもパスワードの解読を防ぐ。

ソルト (Salt)
パスワードハッシュを生成する際に、個々のパスワードに付加されるランダムなデータ。同じパスワードでも異なるハッシュ値が生成されるようになり、レインボーテーブル攻撃などから保護する。

総当たり攻撃 (Brute-force Attack)
パスワードなどを特定するために、可能な限りの全ての組み合わせを試行する攻撃。

辞書攻撃 (Dictionary Attack)
パスワードなどを特定するために、辞書に載っている単語やよく使われる文字列のリストを用いて試行する攻撃。

多要素認証 (Multi-Factor Authentication: MFA)
ユーザー認証において、「知識情報（パスワードなど）」「所持情報（ワンタイムパスワード生成器、スマートフォンなど）」「生体情報（指紋、顔など）」のうち、異なる2つ以上の要素を組み合わせて本人確認を行う方式。

二段階認証 (Two-Step Verification)
パスワード入力後、SMS認証やメール認証など、追加のステップで本人確認を行う認証方式。多要素認証と混同されがちだが、多要素認証とは異なり、同一要素内の複数の手段を用いる場合も含む。

ワンタイムパスワード (One-Time Password: OTP)
一度しか利用できないパスワード。時間同期型（TOTP）、イベント同期型（HOTP）、チャレンジレスポンス型などがある。

生体認証 (Biometric Authentication)
指紋、顔、虹彩、声紋などの身体的特徴や行動的特徴を用いて本人確認を行う認証方式。

PKI (Public Key Infrastructure: 公開鍵基盤)
公開鍵暗号方式を利用して、電子証明書の発行・管理・失効などを行い、公開鍵の正当性を保証する仕組み。デジタル署名や暗号化通信の基盤となる。

電子証明書 (Digital Certificate)
公開鍵が特定の個人や組織に属することを認証局が証明するデータ。公開鍵、所有者情報、認証局の署名などが含まれる。

認証局 (Certificate Authority: CA)
電子証明書を発行し、その正当性を保証する信頼された第三者機関。

CRL (Certificate Revocation List: 証明書失効リスト)
有効期限内であるが、何らかの理由で失効した電子証明書のリスト。

OCSP (Online Certificate Status Protocol)
電子証明書の失効状況をリアルタイムで確認するためのプロトコル。

シングルサインオン (Single Sign-On: SSO)
一度の認証で複数のシステムやサービスにログインできるようにする仕組み。ユーザーの利便性を向上させつつ、管理を簡素化できる。

SAML (Security Assertion Markup Language)
異なるドメイン間で認証や認可の情報を交換するためのXMLベースの標準プロトコル。SSOの実現によく利用される。

OAuth (Open Authorization)
ユーザーが自分のアカウント情報（氏名、メールアドレスなど）を、他のサービスに安全に連携させるための認可の標準プロトコル。認証機能も持つ。

OpenID Connect
OAuth 2.0を拡張し、認証レイヤーを追加したプロトコル。ユーザー認証と情報連携の両方に利用できる。

5.2 認可の仕組み（RBAC、ABAC）

認可 (Authorization)
認証されたユーザーやデバイスが、特定のリソース（ファイル、サービス、機能など）にアクセスすることを許可するかどうかを決定するプロセス。

ロールベースアクセス制御 (Role-Based Access Control: RBAC)
ユーザーに役割（ロール）を割り当て、その役割に基づいてアクセス権限を付与するアクセス制御モデル。

属性ベースアクセス制御 (Attribute-Based Access Control: ABAC)
ユーザー、リソース、環境などの属性に基づいてアクセス権限を決定するアクセス制御モデル。より柔軟な権限設定が可能。

強制アクセス制御 (Mandatory Access Control: MAC)
システムが強制的にアクセスを制御するモデル。主に軍事や政府機関など、高度なセキュリティが求められる環境で利用される。

任意アクセス制御 (Discretionary Access Control: DAC)
リソースの所有者が、そのリソースへのアクセス権限を他のユーザーに自由に付与できるアクセス制御モデル。

5.3 アカウンティング (Accounting)

アカウンティング (Accounting)
ユーザーがシステム上でどのような活動を行ったか（いつログインしたか、どのリソースにアクセスしたか、どのくらいの時間利用したかなど）を記録・追跡するプロセス。責任追跡性や監査に利用される。

ログ (Log)
システムやアプリケーションの動作、ユーザーの操作、イベントなど、様々な情報を記録したデータ。アカウンティングの主要な手段。

SIEM (Security Information and Event Management)
複数のセキュリティデバイスやシステムから発生するログやイベント情報を一元的に収集、相関分析し、セキュリティインシデントの検知や管理を効率化するシステム。アカウンティング情報も分析対象となる。