認証

セキュリティ用語 ひとくちに認証と言っても、英語で言うところのauthentication, certification, identificationはいずれも認証と対訳されることが多い。
certificationは、文脈によっては認定、証明など他の語句に訳される場合があり、identificationも、文脈によっては識別、同定など他の語句に訳される場合がある。
しかしauthenticationだけは他の語句に訳されることはほとんどなく、認証以外に対訳はないようである。*1
ちなみに以下に記すauthenticationという概念は、ネットワークのない世界ではほとんど使われてこなかった言葉である。
このため、authenticatoinを既存の何かに当てはめて考えるのはなかなか難しく、それも混乱を招く要因の一つであると言えるだろう。
そこで、認証(authentication)の定義について明確にしてみることにする。

:認証(authentication): ある対象が主張する識別情報が、その対象と確かに関連づけられたものであることを検証する行為*2

広い意味では、その対象がどのような権限を持っていれば情報資源にアクセス可能であるかを判断するアクセス制御の機能(認可:authoritzation)までをも含めてしまうこともある。
その場合には、対象に関わる属性情報によってアクセス制御を判断をするため、識別情報に加えて関連する属性情報までもが重要な要素となる。

実際ビジネスの中では、認証だけでなく認可までを含めた処理が要求されることが多いため、一般にはもう少し具体的に捉えて、 :認証技術:ある対象を識別するための識別子(ID)とその認証情報(パスワードやPKI証明書など)、およびIDに関わる属性情報(個人情報を含む)に関する適切な制御と管理

と解釈するのが妥当と考える。

Tag: authentication certification identification authorization Internet Security Glossary