情報セキュリティにおけるユーザーの識別と認証とは何ですか？

認証とは、誰かが本人であると主張していることをテストできる手順です。これには通常、ユーザー名とパスワードが含まれますが、スマートカード、網膜スキャン、音声認識、指紋など、IDを示す他の方法が含まれる場合があります。認証は、空港のチケットカウンターで運転免許証を表示するのと似ています。

承認とは、認識された人がリソースを持つことを許可されているかどうかを検出することです。これは通常、その人が特定のグループの一部であるかどうか、その人が入場料を支払ったかどうか、または特定のレベルのセキュリティクリアランスを持っているかどうかを調べることによって決定されます。承認は、排他的なパーティーでゲストの記録を確認すること、またはオペラに行くことができるときにチケットを確認することと同じです。

最後に、アクセス制御は、Webリソースへのアクセスの制御について話す通常の方法です。アクセスは、ユーザーのネットワークアドレス、時刻、月のプロセス、訪問者が使用しているインターネットなど、さまざまな基準に基づいて許可または拒否できます。

アクセス制御は、閉店時にゲートをロックすること、または高さ48インチを超える人だけを乗車させることに似ています。これは、特定の訪問者の属性とは関係がないかどうかに関係なく、任意の条件で入口を制御します。

これらの3つのアプローチは、ほとんどの実際のアプリケーションで非常に密接に関連しているため、互いに独立してそれらについて話すのは複雑です。具体的には、認証と承認は、ほとんどの実際の実行では、切り離せません。

ユーザーがITシステムの使用を許可されているかどうかを判断するには、識別と認証の明確なフェーズが必要です。 IDは、ユーザーがITシステムの一意のIDをサポートする方法に関係します。 IDは、名前（たとえば、最初または最後）または番号（たとえば、アカウント番号）にすることができます。システムが複数のユーザーを区別できるように、IDは一意である必要があります。これは運用要件に基づいており、1つの「ID」で1人の個人、複数の個人、または1人（または複数）の個人の時間の一部のみを定義できます。

認証は、個人を一意のIDに関連付けるフェーズです。つまり、個人が要求されたIDの有効性を作成する方法です。個人が自分の身元を認証できる3つの基本認証手段があります。

• パスワード、暗証番号（PIN）、ロックとの組み合わせ、個人の背景からの事実の組み合わせなど、個人が知っていること。

• トークンやカード、ロックの物理的な鍵など、個人が所有するもの。

• 指紋や音声パターンなど、個人の特性や「生体認証」など、個人の何か。