情報処理安全確保支援士試験の令和5年度秋期午前Ⅱ問8を徹底解説します。今回はSAMLをテーマに、認証と認可の違いやシングルサインオンの仕組みについて分かりやすく解説します。試験対策としてだけでなく、実務でも役立つ2026年最新の認証トレンドまで網羅しています。SAMLやOAuthなどの違いに悩んでいる方は必見の内容です。

SAMLはSecurity Assertion Markup Languageの略であり、異なるインターネットドメイン間でセキュリティ情報を共有してシングルサインオンを実現するためのXMLをベースにした標準規格です。利用者が一度ログインすれば、複数の異なるシステムやサービスをそのままシームレスに利用できる仕組みです。このSAMLの仕組みにおいて重要な役割を果たすのがIdPとSPです。IdPはIdentity Providerの略で、ユーザーの身元を保証し認証を行うボスのような存在です。一方、SPはService Providerの略で、ユーザーが実際に利用したいアプリやサービスを提供する側を指します。SAMLでは、IdPがユーザーを認証した後にこの人は認証済みですよというXMLベースのチケットであるアサーションを発行し、それをSPに安全に受け渡すことでシングルサインオンを実現しています。 次に、SAMLとよく混同されるOAuthについてです。OAuthは認証ではなく、アクセス権限を委譲するための認可プロトコルです。Webサーバにある利用者のリソースに対して、他のサーバが利用者に代わってアクセスすることを許可する仕組みであり、APIへのセキュアなアクセスを得意としています。データ形式としては、JSONベースのトークンを使用してやり取りを行います。 また、OpenIDもSAMLと似た目的を持つ技術です。OpenIDは、利用者IDとしてURLまたはXRIだけを使用することができ、一つの利用者IDで様々なWebサイトにログインできる認証の仕組みです。少し前のコンシューマー向けシングルサインオン技術として知られています。 さらに、選択肢に登場するSGMLは、利用者が文書やデータの属性情報や論理構造を定義する言語であり、これをインターネット用に最適化したものがWebページの基本となるHTMLです。これはマークアップ言語の歴史に関する用語であり、セキュリティプロトコルとは直接関係がありません。 最後に、2026年現在の最新トレンドであるOpenID Connect、略してOIDCについても触れておきます。SAMLは企業向けの強固なセキュリティ基盤として現在でも主役ですが、重厚なXMLを使用するためモバイルアプリやシングルページアプリケーションとは相性が悪いという側面があります。そのため、より軽量で扱いやすいJSONベースのOIDCへと移行が進んでおり、これが現代の新規Webサービスにおける主流となっています。また、パスワードという共有の秘密を持たないPasskeyなどの生体認証や、中央集権的なIdPに依存せずユーザー自身が証明書を管理する分散型IDなども台頭してきており、試験対策としてはSAMLの基礎を固めつつ、実務ではこれらの最新技術との使い分けを理解しておくことが求められます。 www.youtube.com