← サイバーセキュリティ 一覧

🗺️ 第3章のハブ。「あなたは誰か（認証）」と「何をしてよいか（認可）」を分けて守ります。 ⚠️ 防御・教育目的。攻撃手順ではなく、安全な保存・検証・最小権限の設計に徹します。

第3章 認証と認可 目次

CIA/AAA（情報セキュリティとは（CIAとAAA））の AAA を具体化する章です。**認証（Authentication）**は名乗る相手が本人か確かめること、**認可（Authorization）**は本人にどの操作を許すかを決めること。混同は事故のもとです。この章では、パスワードの安全な保存と多要素認証、ログイン状態を運ぶセッションとトークン（JWT）、第三者へ安全に権限を委ねる OAuth2/OIDC、そして最小権限を実装するアクセス制御モデルとゼロトラストを扱います。

トピック一覧

• 認証の基礎（パスワード保存とMFA） — パスワードの安全な保存（低速KDF・ソルト）と多要素認証
• セッションとトークン（JWT） — ログイン状態の運び方、JWT の署名検証
• OAuth 2.0 と OpenID Connect — 権限の委譲（認可）と本人確認（認証）の標準
• アクセス制御モデルとゼロトラスト — RBAC/ABAC と最小権限・常に検証

この章のラボ（防御側デモ）

• labs/password_hashing_demo.py — bcrypt/PBKDF2 による安全なパスワード保存
• labs/jwt_verify_demo.py — JWT の署名検証・改ざん／期限切れの拒否

関連分野（Mímisbrunnr）

• クラウド・インフラ（IAM の実務・ロール設計はあちらと共有 → 最小権限の実装）
• 暗号の基礎（署名・ハッシュの土台 → 暗号の基礎 目次）