認証と認可の違い｜OAuth・MFA・SSOをITパスポート向けに整理

認証と認可は別物

**認証（Authentication）**は「あなたは誰ですか？」を確認することで、**認可（Authorization）**は「あなたに何を許可しますか？」を決めることです。必ず認証が先に行われ、その結果に基づいて認可が決まります。ログインで本人確認（認証）→ 役割に応じて操作を許可（認可）という順序を押さえるだけで、試験の選択問題のほとんどに対応できます。

認証の3 要素

認証には知識（What you know）・所持（What you have）・生体（What you are）の 3 要素があります。知識はパスワードや暗証番号・秘密の質問、所持は IC カードやスマホアプリ・ハードウェアトークン、生体は指紋・顔・虹彩・静脈が該当します。試験で頻出の注意点として「同じ要素を 2 つ重ねても多要素にはならない」があり、パスワードと秘密の質問は 2 段階ではあっても多要素認証にはなりません。

多要素認証（MFA）と2 段階認証

**多要素認証（MFA）**は上記 3 要素のうち異なる 2 種類以上を組み合わせた認証方式です。例えばパスワード（知識）とスマホ通知（所持）を組み合わせると多要素認証になります。2 段階認証は認証ステップを 2 回踏むことを指し、要素が同じでも成立しますが、その分セキュリティ強度は多要素認証より低くなります。

シングルサインオン（SSO）

一度の認証で複数のサービスに自動ログインできる仕組みがシングルサインオン（SSO）です。ユーザーの利便性が高まるだけでなく、ID 管理の集約や退職者のアクセス即時遮断といった管理面のメリットもあります。代表的な実装として、社内システム間で広く使われる SAML と、OAuth 2.0 の上に構築された OpenID Connect があります。

OAuth と OpenID Connect

OAuth 2.0 は認可のためのプロトコルで、「このアプリに自分の Google アカウントの一部権限を与える」といった権限委譲に使われます。OpenID Connect（OIDC）は OAuth 2.0 を拡張した認証プロトコルで、「Google でログイン」がその典型例です。OAuth が認可、OpenID Connect が認証、という対比は試験で頻繁に問われるため確実に区別しておきましょう。

アクセス制御の方式

**ロールベースアクセス制御（RBAC）**はユーザーに管理者・一般などの役割を付与し、役割ごとに権限を設定する方式です。**属性ベースアクセス制御（ABAC）**はユーザー属性・リソース属性・環境属性を組み合わせて動的に権限を判定する、より柔軟な方式です。

ITパスポート試験での出題ポイント

認証と認可の用語識別・3 要素の分類問題・MFA の正しい組み合わせを選ばせる設問が中心です。SSO のメリットとデメリット、および OAuth と OpenID Connect の役割の違いも頻出です。

関連用語

• 暗号化方式とPKI（暗号化の基礎）
• ITIL のサービスデスク・アクセス管理（ITIL とは）

学習のコツ

認証は「誰？」、認可は「何できる？」と一行で言い切れるように練習しておくと、問題文を読んだ瞬間に判断できます。3 要素は「知っている・持っている・である」で覚え、MFA は「異なる要素を 2 つ以上」、2 段階は「ステップが 2 回」と明確に区別しましょう。

まとめ

認証と認可の違い・3 要素・MFA/SSO/OAuth の用途を押さえれば、頻出問題のほぼ全てに対応できます。テクノロジ系を網羅的に演習するならテクノロジ系まとめ、本番形式は模擬試験へ。