どうも。細々と活動しているスガ〜です。
ココナラのブログでどこまで書けるか試していきつつ、情報セキュリティに関する話題を出していこうと思います。
できるだけ分かり易く(と思い込んでいる)内容にしていきたいと思います。外部サイトへのリンクを貼れないので、みなさまが調べていけるように、外部の検索サイトで調べていけるキーワードを太字にして示します。なお、検索したときは、悪意のあるサイトにアクセスしないよう十分にご注意ください。
また、読み方が分かりにくいなぁと感じたIT系の用語は、角括弧[ ]内にカタカナで読み方を付けておりますので参考にしていただければと思います。
身近に使われている認可、OAuth
前回は、認可(Authentication[オーセンティケーション])についてブログを書きました。その中で、例として、一般社員であるあなたが社長室に入り、社長の椅子に座ろうとして怒られるシーンを示しました。これが、認可されていない状態です。社長さんから、あなたは社長の椅子に座ることを許可されていない状態になります。しかし、もし、社長さんが「椅子に座っていいよ~」と言ってくれたら、一般社員であるあなたは遠慮なく座ることができます。これが、認可された状態です。
今回は、みなさまが、社長さんの気分になれるOAuth[オーオース]について説明しようと思いましたが、検索すれば分かりやすく説明してくれているサイトがたくさんあるではないですか!
OAuthは現在、OAuth 2.0が広く使われておりますので、「なにそれ?」と思った人は、ぜひ検索していただければと思います。
そこで、このブログでは、皆様がOAuthで最も身近に利用していると考えられる、「アプリケーション間の認可」について、Googleアカウントを題材にして述べます。
アプリケーション間の認可は、ご自身が利用しているアプリケーションに対して、「自分の情報を使っていいよ~」とか、「この別のアプリの機能を使っていいよ~」などのように、認可する仕組みになります。
Googleアカウントを確認してみよう!
ここで示している図は、WindowsにおけるChromeブラウザーでの表示例です。お使いの機器によっては、見え方が異なる可能性が高いので、マニュアルなどを確認するようにしてください。
Googleアカウントをお持ちの場合は、Googleの検索画面の右上に表示されているご自身のアイコンをクリックします。
図1 Google検索画面
そして、表示される小さな画面内の「Googleアカウントを管理」の項目を選択します。
図2 Googleアカウントのメニュー
Googleアカウントの管理画面で、「データとプライバシー」を選択します。
図3 Googleアカウント画面
画面を下の方にスクロールして、「ご利用のアプリ、サービスのデータ」を探してください。
ご利用のアプリ、サービスのデータ項目内に存在する、「サードパーティ製のアプリとサービス」を選択して内容をご覧ください。
図4 データとプライバシー ~ ご利用のアプリ、サービスのデータ
特に、この中から「アクセス権の付与」という項目で絞り込んでみてください。
図5 アクセス権の付与でフィルタリング
何件リストアップされてますでしょうか?
私は8件ありました。
認可してます
これは、ご自身が利用しているアプリケーションが、あなたのGoogleアカウントの各種情報や機能を利用するのを許可している、アプリケーションのリストになります。
身に覚えがなくても、あなたが、何かのタイミングで許可したのです。社長さんが「椅子に座っていいよ~」と言ったように。
例えば、この図では、Googleアカウントのプロフィールの参照と、Google Fitの情報操作が表示されています。
図6 おじさんは、まだPokemon GOを遊んでいるぞ。
これらが、普段使っているアプリケーションで、必要な権限であれば特に問題はないといえます。
気を付けていただきたいのは、身に覚えのないアプリケーションに権限を与えていることや、普段利用しているけど意図せず権限を与えている場合です。
身に覚えのないアプリケーションがリストに存在していたら、当該ページの下部に権限を削除するメニューがあるので削除するとともに、スマートフォンにインストールしているアプリケーションであればアンインストールするようにしてください。
また、普段利用しているけど余計な権限を与えているアプリケーションは、権限を削除してしまうとアプリケーションの正常な動作を妨げる恐れもあるため、どのように取り扱うか十分にご検討ください。
情報セキュリティに関するご相談を承りますっ!