ID とアクセス の用語

40 terms

• アイデンティティとアクセス管理 (IAM)

  デジタルアイデンティティを定義し、どの ID がどの条件下でどのリソースにアクセスできるかを制御するための技術領域と仕組み。

• 認証

  アクセス権を与える前に、利用者・端末・サービスが本当に名乗っているとおりの実体であることを確認するプロセス。

• 認可

  認証済みの ID が、どのリソースに対してどの操作を、どの条件下で実行できるかを判断するプロセス。

• アカウンティング (AAA の Accounting)

  AAA フレームワークの 3 本目の柱で、認証済み ID がいつ・どこから・どのリソースに対して何を行ったかを記録し、監査や課金に用いる仕組み。

• AAA フレームワーク

  認証 (Authentication)、認可 (Authorization)、アカウンティング (Accounting) の 3 つの機能を直列に組み合わせた基本的なアクセス制御モデル。

• シングルサインオン (SSO)

  信頼できる ID プロバイダで一度だけログインすれば、再度資格情報を入力せずに複数のアプリにアクセスできる認証方式。

• フェデレーテッド ID

  別々の組織やドメインが共通の ID プロバイダを信頼し合うことで、利用者が同じ ID をどこでも使えるようにする仕組み。

• SAML

  ID プロバイダとサービスプロバイダのあいだで、認証および認可に関するアサーションを交換するための XML ベースのオープン標準。

• OAuth 2.0

  リソース所有者が資格情報を共有せずに、サードパーティ製アプリへ API に対する制限付き・スコープ付きのアクセスを委譲できる、オープンな認可フレームワーク。

• OpenID Connect (OIDC)

  OAuth 2.0 上に構築された ID レイヤーで、クライアントが署名付き ID トークンを通じて利用者の身元を検証し、基本プロフィールを取得できるようにする。

• 多要素認証 (MFA)

  アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。

• 二要素認証 (2FA)

  本人確認のために、通常はパスワードに加えてもう 1 つの要素を必要とする、ちょうど 2 要素の多要素認証。

• ワンタイムパスワード (OTP)

  1 回のログインまたは短い時間枠の間だけ有効な短い数字コード。通常は第 2 認証要素として使われる。

• 時間ベースのワンタイムパスワード (TOTP)

  RFC 6238 で定義され、共有秘密と現在時刻から短いコードを導出して 30 秒ごとに更新するワンタイムパスワードアルゴリズム。

• HMAC ベースのワンタイムパスワード (HOTP)

  RFC 4226 で定義され、共有秘密と単調増加するカウンタから短いコードを導出するイベント型のワンタイムパスワードアルゴリズム。

• Push Authentication

  Push Authentication — definition coming soon.

• Passkey

  Passkey — definition coming soon.

• FIDO2

  FIDO2 — definition coming soon.

• WebAuthn

  WebAuthn — definition coming soon.

• U2F (Universal 2nd Factor)

  U2F (Universal 2nd Factor) — definition coming soon.

• 生体認証

  指紋・顔・虹彩・声紋など、個人固有の身体的・生理的特徴によって本人確認を行う認証方式。

• 行動的生体認証

  打鍵リズム・マウス操作・歩行・タッチ操作などのユーザー固有の振る舞いをプロファイル化し、なりすましを検知する継続認証技術。

• ロールベースアクセス制御(RBAC)

  権限をユーザーに直接ではなくロールに付与し、ユーザーはロール割り当てを通じてアクセス権を継承する認可モデル。

• 属性ベースアクセス制御(ABAC)

  主体・リソース・アクション・環境の属性に基づいてポリシーを評価し、アクセス要求の許可可否を判断する認可モデル。

• 強制アクセス制御(MAC)

  リソース所有者ではなく中央のポリシーが、主体と客体に付与された機密区分やクリアランスに基づいてアクセスを強制するモデル。

• 任意アクセス制御(DAC)

  リソース所有者が、誰にどの操作を許可するかを自由に決定するアクセス制御モデル。

• 最小権限の原則

  ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。

• ジャストインタイムアクセス(JIT)

  必要なタイミングと作業範囲に限定して高い権限を一時的に付与し、終了後に自動で剥奪するアクセスモデル。

• 特権アクセス管理(PAM)

  管理者権限を持つアカウントやシステムへのアクセスを安全に管理・制御・監視・監査するためのプラクティスとツールの総称。

• サービスアカウント

  アプリケーション・スクリプト・サービスが他のシステムに認証するために用いる非人間アイデンティティで、通常は対話的ログインを行わない。

• マシン ID

  ワークロード・デバイス・コンテナ・API クライアントなど非人間エンティティが他システムと認証・信頼関係を結ぶための暗号学的アイデンティティ。

• Kerberos

  対称鍵暗号と信頼された鍵配布センターを用いたチケットベースのネットワーク認証プロトコルで、サービス横断のシングルサインオンを安全に実現する。

• NTLM 認証

  保存されたパスワードハッシュからユーザー身元を証明する Windows 旧来のチャレンジ・レスポンス認証プロトコルで、現代の基準では弱いと評価されている。

• LDAP

  LDAP — definition coming soon.

• Active Directory

  Active Directory — definition coming soon.

• Password

  Password — definition coming soon.

• Passphrase

  Passphrase — definition coming soon.

• Password Manager

  Password Manager — definition coming soon.

• Credential Vault

  Credential Vault — definition coming soon.

• Session Management

  Session Management — definition coming soon.