情報処理安全確保支援士試験の合格を目指す上で、多くの受験者が頭を悩ませるのが「IAM」と「ゼロトラスト」の分野ではないでしょうか。「SAMLやOIDC、OAuthといった認証プロトコルの違いが分からない」「ゼロトラストという概念は理解できても、具体的な対策と結びつかない」――。特に午後問題では、これらの知識を前提とした実践的なシナリオが出題されるため、単なる暗記だけでは対応が困難です。
本記事では、IAM、アクセス制御、ゼロトラスト、そして各種認証方式といった頻出テーマを、単なる一問一答に留めず、それぞれの関連性や背景を豊富な具体例や図解を交えながら丁寧に解説します。点と点だった知識を線で繋ぎ、確かな得点力に変えるための第一歩を踏み出しましょう。
目次
すべての土台となるIAMとアクセス制御の3原則│支援士試験の基礎知識
セキュリティ対策を考える上で、すべての土台となるのが「誰に、何を、どこまで許可するのか」を管理するIAM(Identity and Access Management)です。なぜなら、クラウドサービスの利用が当たり前になった現代では、社内と社外の境界が曖昧になり、「どのIDが正規の利用者か」を正確に管理・制御することが不正アクセスを防ぐ第一歩となるからです。
このIAMの根幹をなすのが、アクセス制御の3原則と呼ばれる「認証」「認可」「監査」です。これは、オフィスビルに入る際の手順に例えると非常に分かりやすくなります。
- 1. 認証 (Authentication):「あなたは誰?」の本人確認
ビルに入る時、社員証をゲートにかざします。これが「認証」です。IDとパスワード、生体情報などを使ってシステムに「自分は正当な利用者ですよ」と証明するプロセスを指します。 - 2. 認可 (Authorization):「何をしていい?」の権限付与
認証が通っても、ビル内のすべての部屋に入れるわけではありません。役職や部署に応じて、サーバールームや役員室など、入れる部屋が制限されています。これが「認可」です。認証されたユーザーに対して、どのファイルにアクセスし、どのような操作(読み取り、書き込みなど)を許可するかを決定します。 - 3. 監査 (Audit):「何をした?」の記録・追跡
誰が、いつ、どの部屋に入退室したかは、すべてログとして記録されています。これが「監査」です。ユーザーの操作履歴を記録・追跡し、不正アクセスや問題が発生した際に原因を調査できるようにします。
そして、この「認可」をどのようなルールで実現するのか、代表的な3つのアクセス制御モデルがあります。それぞれの特徴を表で比較しましょう。
アクセス制御モデルの比較
| モデル名 | 特徴 | 長所 | 短所 | 身近な例 |
|---|---|---|---|---|
| DAC (任意アクセス制御) |
リソースの所有者がアクセス権を自由に設定する方式。 | 柔軟性が高い。 | 管理が一元化できず、大規模組織には不向き。 | Googleドライブの所有者が、共有相手や権限(編集者/閲覧者)を個別に設定する。 |
| MAC (強制アクセス制御) |
管理者が定めたセキュリティポリシーに基づき、システムが一元的にアクセスを制御する厳格な方式。 | 非常に強固でセキュア。 | 柔軟性に欠け、運用が複雑。 | 軍事・防衛システムなど、機密レベルに応じてアクセスが厳密に管理される。 |
| RBAC (ロールベースアクセス制御) |
ユーザーに割り当てられた役割(ロール)に基づいてアクセス権を管理する方式。 | 異動や組織変更に強く、管理が効率的。 | 役割の設計が複雑になることがある。 | 企業の「営業部」「開発部」といった部署(ロール)ごとに、アクセスできるフォルダやシステムを予め定義しておく。 |
特に、現代の企業システムではこのRBAC(ロールベースアクセス制御)が主流となっており、支援士試験でも頻出の重要な考え方です。
「あなたは誰?」を確認する多様な認証方式│パスワードから生体認証まで
アクセス制御の第一歩は「認証」ですが、その方法には様々な種類があります。最も身近なパスワード認証から、よりセキュリティの高い方式まで、それぞれの特徴を理解することが重要です。特に、パスワード認証の弱点をどのように克服していくのか、という視点で見ていきましょう。
基本だが弱点も多い「パスワード認証」
IDとパスワードの組み合わせは、最も基本的な認証方式です。しかし、その弱点は数多く指摘されています。
- 推測されやすい:誕生日や単純な文字列など、第三者が容易に推測できるパスワードを設定してしまう。
- 漏洩リスク:システムへの不正アクセスにより、保存されているパスワード情報が流出する。
- 使い回し:複数のサービスで同じパスワードを使い回していると、1つのサイトで漏洩した情報で他のサイトにも不正ログインされる(パスワードリスト攻撃)。
- 総当たり攻撃(ブルートフォース攻撃):プログラムで考えられるすべての組み合わせを試行し、パスワードを特定する。
これらの弱点を補うために、より強固な認証方式が求められます。
パスワードの弱点を補う認証方式
パスワード以外の認証方式には、主に「所持情報(持っているもの)」や「生体情報(本人そのもの)」を利用するものがあります。
| 認証方式 | 概要と身近な例 | メリット | デメリット |
|---|---|---|---|
| ワンタイム パスワード(OTP) |
一度限り有効な使い捨てのパスワードを利用する。 例:銀行のネット振込時にSMSで送られてくる6桁の確認コードや、認証アプリに表示される30秒ごとに変わる数字。 |
仮に盗聴されても再利用できないため、リプレイ攻撃に強い。 | 利用の都度、コードの確認が必要。スマホの紛失時に利用できなくなる。 |
| バイオメトリクス認証 (生体認証) |
本人固有の身体的特徴(指紋、顔、静脈など)で認証する。 例:スマートフォンの指紋認証や顔認証(Face ID)によるロック解除。 |
なりすましが極めて困難。パスワードを覚える必要がない。 | 生体情報は変更できないため、漏洩時のリスクが非常に大きい。認証精度は100%ではない。 |
| デバイス認証 | 事前に許可・登録された特定の端末(PC、スマホ)からのみアクセスを許可する。 例:会社から貸与されたPCでないと、社内ネットワークや特定のクラウドサービスに接続できない。 |
不正な端末からのアクセスを根本的に防ぐことができる。 | 端末の紛失・盗難リスクがある。私物端末の利用(BYOD)が制限される。 |
このように、認証方式には一長一短があります。そのため、現代のセキュリティでは、これらの方式を一つだけ使うのではなく、複数を組み合わせて安全性を高めるアプローチが主流となっています。それが、次のテーマである「多要素認証(MFA)」です。
セキュリティ強度を飛躍させる多要素認証(MFA)の仕組み│午後試験対策の鍵
前のセクションで見たように、単一の認証方式にはそれぞれ弱点があります。そこで、複数の認証方式を組み合わせてセキュリティ強度を飛躍的に高めるのが多要素認証(MFA: Multi-Factor Authentication)です。これは、近年のセキュリティ対策において最も重要な基本対策の一つとされています。
MFAを理解する鍵は、認証の「要素」を理解することです。認証要素は、大きく以下の3種類に分類されます。
- 知識情報 (Something you know):本人だけが知っている情報。
- 例:パスワード、PINコード、秘密の質問
- 所持情報 (Something you have):本人だけが持っているモノ。
- 例:スマートフォン(SMS、認証アプリ)、ICカード、ハードウェアトークン
- 生体情報 (Something you are):本人固有の身体的特徴。
- 例:指紋、顔、静脈、虹彩
MFAが強力な理由は、これら3つのうち、異なる2つ以上の要素を組み合わせて認証を行う点にあります。例えば、攻撃者がパスワード(知識情報)を盗んだとしても、被害者のスマートフォン(所持情報)がなければログインできません。このように、一つの要素が突破されても、別の要素が防波堤となるため、不正アクセスが極めて困難になるのです。
「二段階認証」と「多要素認証」の違い
ここで、よく混同される「二段階認証」との違いを明確にしておきましょう。これは支援士試験でも問われやすいポイントです。
| 分類 | 定義 | 具体例 |
|---|---|---|
| 多要素認証 (MFA) | 異なる要素を2つ以上組み合わせる認証。 | ✅ パスワード (知識) + スマホへのSMSコード (所持) ✅ 指紋認証 (生体) + PINコード (知識) |
| 二段階認証 (2SA) | 認証プロセスが2段階に分かれているもの全般を指す。同じ要素の組み合わせも含まれる。 | ✅ パスワード (知識) + 秘密の質問 (知識) ← これはMFAではない ✅ 上記のMFAの例も二段階認証に含まれる。 |
つまり、「多要素認証は、二段階認証の一種であるが、よりセキュリティ要件が厳しいもの」と覚えておきましょう。単に認証回数が2回だから安全、というわけではなく、「どの要素を組み合わせているか」がセキュリティ強度を決定づけるのです。
利便性とリスクを理解するシングルサインオン(SSO)の功罪
毎日使う多数のクラウドサービス(メール、チャット、ストレージなど)に、その都度IDとパスワードを入力するのは非常に手間がかかります。この課題を解決し、利用者の利便性を大幅に向上させる仕組みがシングルサインオン(SSO: Single Sign-On)です。
SSOとは、その名の通り**「一度(Single)の認証で、連携している複数のシステムやサービスにサインオン(Sign-On)できる」仕組みです。身近な例では、Googleアカウントに一度ログインすれば、GmailもGoogleドライブもGoogleカレンダーも、再認証なしでシームレスに利用できるのがSSOの代表例です。
SSOのメリットとデメリット
SSOは非常に便利ですが、メリットとデメリット(功罪)は表裏一体です。これを「高級ホテルのカードキー」に例えてみましょう。
ホテルのフロントで一度本人確認を済ませてカードキーを受け取れば、その一枚で自分の客室だけでなく、フィットネスジムやプールにも入れます。これがSSOの**利便性(メリット)**です。利用者は何枚も鍵を持つ必要がなく、管理者はフロントで本人確認を一度するだけで済みます。
しかし、もしそのカードキーを紛失したり盗まれたりしたらどうなるでしょうか。第三者が客室はおろか、ジムやプールといった様々な施設にまで入れてしまいます。これがSSOの**危険性(デメリット)**です。つまり、最初の認証が突破されると、連携しているすべてのサービスに不正アクセスされるリスクを抱えています。
SSOのメリットとデメリットをまとめると、以下のようになります。
| 分類 | 内容 |
|---|---|
| ✅ メリット |
|
| ❌ デメリット (リスク) |
|
この重大なリスクのため、SSOを導入する際には、必ず前のセクションで学んだ多要素認証(MFA)を組み合わせることが絶対条件**となります。SSOで利便性を高めつつ、MFAで認証そのものを強化する。この二つは、現代のセキュリティにおいて「セットで導入するもの」と覚えておきましょう。
【午後試験の最頻出】SAML/OAuth/OIDC認証連携の仕組みを図解で徹底整理
シングルサインオン(SSO)を実現するためには、サービス間で認証情報を安全にやり取りするための「共通言語」が必要です。その言語にあたるのが、SAML、OAuth、OIDCといった認証・認可プロトコルです。これら3つの違いを理解することは、午後問題のシナリオを読み解く上で不可欠です。
まず、登場人物を整理しましょう。
- IdP (Identity Provider): 認証を専門に行うサービス。「身分証明書」を発行する市役所のような存在です。(例: Microsoft Entra ID, Okta)
- SP (Service Provider): ユーザーが利用したいサービス。「身分証明書」を確認して施設への入場を許可する受付のような存在です。(例: Salesforce, Google Workspace)
SAML:企業向けSSOのデファクトスタンダード
SAML (Security Assertion Markup Language) は、主に企業システム間のSSOで利用されるプロトコルです。目的は「認証」情報の連携です。
例え話: あなた(利用者)がA社の社員で、提携しているB社のフィットネスジム(SP)を利用したいとします。
- あなたがB社ジムの受付に行くと、「A社の社員証を見せてください」と言われます。(SPからIdPへのリダイレクト)
- あなたはA社(IdP)に戻り、本人確認を受けて「B社ジム利用許可証(SAMLアサーション)」をXML形式の厳格な書類で発行してもらいます。
- その許可証をB社ジムの受付に見せると、内容を確認して入場を許可してくれます。
この「利用許可証」がSAMLアサーションであり、「この人は確かにA社の社員で、認証済みです」という情報を安全に伝達する役割を果たします。
[図解:SAML認証フロー。利用者がSPにアクセスし、IdPにリダイレクトされ、認証後にSAMLアサーションを持ってSPに戻り、ログインが成功する流れ]
OAuth 2.0:「認証」ではなく「認可」のプロトコル
OAuth 2.0 は、SAMLとは目的が全く異なります。これは「認証(本人確認)」ではなく、「認可(権限の委譲)」のためのフレームワークです。「〜する権限を与える」という点に特化しています。
例え話: あなたが、スマートフォンの「家計簿アプリ」に、あなたの「銀行口座の入出金履歴」だけを連携させたいとします。
- 家計簿アプリに銀行のIDとパスワードを直接渡すのは危険です。
- そこで、あなたは銀行のサイトにログインし、「この家計簿アプリに、入出金履歴を閲覧する権限だけを与えます」という許可を出します。
- すると銀行は、その権限だけを持つ特別な「許可証(アクセストークン)」を家計簿アプリに発行します。
- 家計簿アプリは、その許可証を使って銀行から履歴情報だけを取得できます。振込などの権限は持っていません。
このように、ユーザーのID/パスワードを渡すことなく、第三者アプリに限定的な権限を与えるのがOAuthの役割です。
OIDC:「OAuth 2.0」+「認証」の決定版
OIDC (OpenID Connect) は、OAuth 2.0の仕組みを拡張し、その上で「認証」もできるようにしたものです。「WebサービスにGoogleやLINEのアカウントでログイン」する機能は、ほとんどがこのOIDCを利用しています。
OIDCは、OAuth 2.0の「アクセストークン(許可証)」に加えて、「IDトークン(身分証明書)」というものを発行します。このIDトークンには、「誰が、いつ認証されたか」といった本人確認情報が記載されています。
つまり、OIDCはOAuth 2.0の認可の仕組みをベースに、IDトークンという身分証明書を乗せることで、認証も実現したプロトコルなのです。
3つのプロトコルの比較まとめ
最後に、3つのプロトコルの違いを整理します。この表が最も重要です。
| 項目 | SAML 2.0 | OAuth 2.0 | OpenID Connect (OIDC) |
|---|---|---|---|
| 主な目的 | 認証 (Authentication) | 認可 (Authorization) | 認証 (Authentication) |
| ユースケース | 企業システム間のSSO | APIへのアクセス権限委譲 (例: SNS連携、外部アプリ連携) |
Web/モバイルアプリのSSO (例: Googleアカウントでログイン) |
| 情報の形式 | XML | 規定なし (多くはJSON) | JSON Web Token (JWT) |
| やり取りする 中心的な情報 |
SAMLアサーション | アクセストークン | IDトークン (+ アクセストークン) |
境界防御の終焉とゼロトラスト│"常に検証"でシステムを守る新常識
これまでのセキュリティ対策は「境界型防御」という考え方が主流でした。これは「社内ネットワークは安全、社外は危険」という前提に立ち、社内と社外の境界線にファイアウォールなどの壁を築いて守る、まさにお城の「城壁と堀」のようなモデルです。しかし、クラウド利用の拡大やリモートワークの普及により、この境界は曖昧になり、一度内部に侵入されると内部では自由に動けてしまう(ラテラルムーブメント)という弱点が露呈しました。
そこで登場したのが「ゼロトラスト」という新しい考え方です。ゼロトラストは、その名の通り「何も信頼しない(Zero Trust)」を前提とし、「社内であろうと社外であろうと、すべてのアクセスを信頼せず、常に検証する(Never Trust, Always Verify)」というアプローチを取ります。
これを例えるなら、「空港のセキュリティ」が非常に近いモデルです。
- 境界型防御(お城): 一度城門を通過すれば、城内では比較的自由に行動できます。
- ゼロトラスト(空港): 空港の入り口だけでなく、チェックインカウンター、保安検査場、搭乗ゲートと、重要なエリアを通過するたびに何度も本人確認(パスポートや搭乗券の提示)を求められます。アクセスのたびに、その都度「あなた 누구?」「その権限はあるか?」「持ち物(デバイス)は安全か?」を検証するのがゼロトラストです。
[図解:左側に「境界型防御」のイラスト(堅い外壁と自由に動ける内部)、右側に「ゼロトラスト」のイラスト(内部にも複数のチェックポイントが存在する)を対比させた図]
ゼロトラストを実現する具体的な技術要素
ゼロトラストは単一の製品で実現するものではなく、複数の技術を組み合わせて実現する「概念」です。そして、その構成要素の多くは、私たちがこれまで学んできた技術と深く関連しています。
| ゼロトラストの構成要素 | 概要と関連技術 |
|---|---|
| ID中心のセキュリティ | すべてのアクセスの主体である「ID」を管理・監視の中心に据える。 → 関連技術:IAM, IdP/SP, SAML/OIDC |
| 強力な認証 | アクセスの都度、本当に本人であるかを厳格に検証する。 → 関連技術:多要素認証 (MFA) |
| デバイスの信頼性検証 | アクセス元のデバイスが、セキュリティ基準を満たしているか(OSは最新か、ウイルス対策ソフトは有効か等)を検証する。 → 関連技術:デバイス認証, MDM/EDR |
| マイクロセグメンテーション | ネットワークを細かく分割し、仮に一つのセグメントが侵害されても被害が全体に広がらないようにする。 → 関連技術:次世代ファイアウォール, SDP |
| 最小権限の原則 | ユーザーには、業務に必要な最低限の権限(認可)のみを与える。 → 関連技術:アクセス制御 (RBAC) |
このように、ゼロトラストとは、これまで学んできたIAM、MFA、アクセス制御といった知識の集大成とも言えるセキュリティモデルなのです。支援士試験では、このゼロトラストの考え方をベースにした問題が今後ますます増えていくでしょう。