情報セキュリティ管理比較問題
アクセス制御における「認証(Authentication)」と「認可(Authorization)」の違いについて、最も適切な説明はどれか。
A.認証はユーザーの身元確認であり、認可はそのユーザーが実行できる操作や利用できるリソースを制限すること← 正解
✓ 正解です。認証は「あなたは誰か」を確認し、認可は「あなたは何ができるか」を決定します。
B.認可はユーザーの身元確認であり、認証はそのユーザーが実行できる操作や利用できるリソースを制限すること
✗ 定義が逆転しています。認証がユーザー確認、認可がアクセス制限という点は理解していますが、主語が入れ替わっています。
C.認証と認可は同じ意味であり、両者に区別はない
✗ 認証と認可は全く異なるプロセスです。認証は身元確認、認可はリソースへのアクセス権限付与を意味します。
D.認証はパスワード設定の強度を評価し、認可はシステムへのアクセス許可を与えること
✗ 認証はパスワード強度評価ではなく、提示された認証情報の正当性を検証するプロセスです。