AAAとは何か?Authentication、Authorization、Accountingの3つから成るセキュリティ機能について解説
AAAの概要
AAA(トリプルエー)とは、以下3つのセキュリティ機能の総称です。
- Authentication(オーセンティケーション)
- Authorization(オーソリゼイション)
- Accounting(アカウンティング)
それぞれの頭文字を取って「AAA」と呼ばれます。
AAAはRADIUSやTACACS+などのセキュリティプロトコルとセットで使われることが多い用語です。
AAAの機能
以下では、AAAの3つの機能について具体的に説明します。
Authentication
Authenticationは、認証と呼ばれます。
Authenticationは、アクセスしてきたユーザーが、許可されたユーザーかどうかをチェックする機能です。
チェックには、ユーザーID、パスワード、デジタル証明書などが使われます。
ECサイトで例えると、ユーザーはECサイトにユーザー名、パスワードを使いサイトにログインします。
サイトが管理している認証情報と、ユーザーが入力した情報が一致した場合、ユーザーのログインを許可します。
認証情報をチェックしてログインを許可する機能がAuthenticationにあたります。
Authorization
Authorizationは、許可と呼ばれます。
認証に成功したユーザーに対して、権限を与える機能です。
使用できるコマンドや、ネットワークへのアクセスなどの権限を与えます。
ECサイトであれば、ログイン許可されたユーザーは、商品閲覧や、購入の権限が与えられます。
この権限付与の機能がAuthorizationです。
Accounting
Accountingは、課金と呼ばれます。
Accountingは、認証に成功したユーザーの情報を収集したり、ユーザーの行動を監視する機能です。
ログインしたユーザー、ユーザーが使用したコマンド、接続時間などの情報をログに記録します。
SDNが主流だったころ、ダイアルアップ接続などの従量課金制が多く使われていました。
ユーザーのログイン、ログアウトのログをもとに、利用時間を計算し、金額を請求していたことから「課金」と呼ばれていました。
現在では、従量課金を利用する企業ネットワークが少なくなったため、「課金」という形で利用されることはほとんどありません。
ECサイトであれば、購入した商品、商品を購入した時間などが記録されます。
これがAccountingです。
AAAをサポートするセキュリティプロトコル
AAAをサポートするセキュリティプロトコルの代表的なものに、RADIUSや、TACACS+があります。
それぞれのプロトコルを利用した認証サーバーを、RADIUSサーバー、TACACS+サーバーと呼びます。
これらのサーバーを用意すると、AAAの機能を一元で管理できます。
通常、ユーザーIDやパスワードは、機器に個別に設定されています。
その為、それらの認証情報を更新したい場合、個別で設定を変更する必要があり、時間と手間がかかります。
しかし、RADIUSサーバー、TACACS+サーバーを使用すると、サーバー側で認証情報を一括で変更できます。
機器に設定するユーザーID、パスワードの情報を、個別で機器に設定する必要がありません。
また、RADIUSサーバーやTACACS+サーバーを使用すると、認証に、ユーザーID、パスワードに加えて、デジタル証明書が利用できます。
従来のユーザーID、パスワードのみの認証と比べ、強固な認証が可能です。