セキュリティ・コンプライアンス

認可

Authorization

認証後、ユーザーが何をできるかを決める権限管理プロセス。アクセス制御の中核です。

認可 アクセス制御 RBAC 権限管理 セキュリティ
作成日: 2026年4月2日

認可とは

認可は、本人確認された後、そのユーザーが実際に何をできるか(どのデータにアクセスでき、どの操作が可能か)を決定するプロセスです。 認証が「あなたは誰ですか?」という確認なら、認可は「あなたは何ができますか?」という権限判定です。最小権限の原則に基づき、必要最小限のアクセス権のみを与えることが理想です。

ひとことで言うと: 警察官が職務質問(認証)で本当の警察官と確認した後、その警察官が「容疑者を逮捕できるか」「一般市民の家を捜査できるか」を判定するのが認可です。

ポイントまとめ:

  • 何をするか: ユーザーの権限に基づいて許可される操作を制御する
  • なぜ必要か: 不正操作を防ぎ、データや機能へのアクセスを適切に制限するため
  • 誰が使うか: IT管理者、セキュリティ担当者、システムアーキテクト

重要な理由

認可が曖昧だと、新入社員が顧客全体の個人情報を閲覧できたり、派遣社員が年間予算データに触れたり、システム管理者が財務取引を承認できたりという、あり得ない権限構成になります。こうした不正操作は意図的な改ざん以上に、無意識のミスや不注意から発生することが多いため、システム側で強制することが重要です。

実例として、ある大手企業で年間1000件超の不正アクセス試行の95%以上が、権限外アクセスだったというデータがあります。つまり、認可制御さえ厳密なら、大半の内部脅威を防げるということです。

仕組みをわかりやすく解説

認可システムは、複数の要素から総合的に権限を判定します。最初に確認するのはユーザーの「ロール」(役職)です。営業担当者なら営業ロール、経理担当者なら経理ロール、という具合に、組織内の立場に基づいた権限テンプレートが適用されます。

次に、ロール以外の「属性」も考慮します。例えば、営業ロールでも「東日本地域専任」と「西日本地域専任」では、アクセスできる顧客データが異なります。また、「契約期間中のみアクセス可」というように、時間的な制約も加わります。これらが「属性ベースアクセス制御(ABAC)」です。

最終的には、ポリシーエンジンがこれらすべての情報を処理し、「このユーザーは、この時刻に、このリソースに対して、どの操作が可能か」を判定します。判定結果がOKならアクセス許可、NGなら拒否、というシンプルな流れですが、その背後には複雑なルール評価があるのです。

実際の活用シーン

病院の患者情報管理 医者は担当患者のカルテを閲覧できますが、他科の患者情報は見られません。看護師は記録は入力できますが、処方変更は医者のみ。このように職種と責務で細かく権限を制御します。

金融機関の取引承認 100万円までは課長が承認、1000万円は部長、1億円は役員が承認という、金額ベースの権限制御。金額が上がるほど高位の承認者が必要という、リスク対応の権限設計です。

SaaS企業のマルチテナント環境 顧客Aの営業部長は顧客Aのデータしか見られず、顧客Bのデータは見えません。同じ「営業部長」というロールでも、組織(テナント)単位で権限が隔離されます。

メリットと注意点

認可制御の最大のメリットは、内部脅威から組織を守ることです。権限のない人が機密情報にアクセスしようとしてもシステムがブロックするため、悪意のあるなしを問わず、不正操作を防げます。また、誰がどのデータにアクセスしたかを監査ログで追跡できるため、事後的な調査も可能です。

しかし、認可ルールが複雑になると、管理の負担が急増します。「この部署がこのプロジェクトに加わったから権限を追加」という変更要求が頻繁に発生すると、ルール競合や漏れが生じやすくなります。また、ユーザーが必要な権限を持たずにシステムの操作がブロックされると、作業効率が低下する可能性もあります。認可の厳密性と利便性のバランスが常に問われます。

関連用語

よくある質問

Q: RBACとABACの使い分けはどうする? A: シンプルな階層組織(部長>課長>社員)ならRBACで十分です。しかし、プロジェクト制や複雑な職務分掌がある場合、ABACの方がより柔軟に対応できます。実際には、基盤としてRBACを使いながら、例外的なケースをABACで補うハイブリッド方式が多いです。

Q: 権限昇格は必要ですか? A: 一時的に上位権限が必要な場合(管理者不在時の緊急対応など)、事前承認に基づいた限時的な権限昇格は有効です。ただし、何度も同じタスクで昇格が必要なら、本来の権限設計を見直すべき信号です。

Q: 権限がありすぎる社員がいて削除したいのですが? A: 定期的にアクセス権の棚卸し(アクセスレビュー)を実施し、現在の職務に必要な権限のみ残す作業が重要です。古い権限が残ったまま放置されるのはよくあるリスクなので、人事異動時や定期的な監査時に必ず確認してください。

関連用語

アクセス制御

アクセス制御は、誰がシステムやデータを利用できるかを管理するセキュリティ仕組み。認証・認可・監査を通じて不正アクセスを防止します。...

詳細を見る
用語集に戻る
×
お問い合わせ Contact