AuthZEN：クラウド認可の分断を解消する新標準

2025年4月11日14:00

サイバーセキュリティニュース

Last Updated on 2025-04-11 14:09 by admin

OpenID財団が提案するAuthZENは、クラウド環境における分断された認可制御を統一する新しいオープン仕様だ。2024年11月にAPI 1.0が承認され、2025年3月には15社による相互運用性のデモンストレーションが行われた。この標準化により、企業はクラウドサービス間で一貫した認可ポリシーを適用できるようになり、セキュリティの向上とコンプライアンス管理の簡素化が期待されている。

OpenID財団が提案する新しいオープン仕様「AuthZEN」は、クラウド環境における分断された認可制御を統一し、共通言語を提供することで企業のセキュリティ管理を効率化する画期的な取り組みである。

2024年11月：OpenID財団がAuthZEN API バージョン1.0を承認
2025年3月下旬：Amazon、Aserto、Axiomaticsなど15社が相互運用性をデモンストレーション
現状の課題：クラウドプロバイダーごとに独自の認可システムが存在し、一貫した管理が困難
目標：OAuth 2.0やOpenID Connectが認証成功したように認可の標準化を実現
背景：OWASP Top 10（2021年版）で「壊れたアクセス制御」が最大のリスクとして特定
専門家の見解：AuthZENの成功は業界全体での採用度合いに依存

from: AuthZEN Aims to Harmonize Fractured Authorization Controls

【編集部解説】

クラウドサービスを利用する企業が直面している「認可」の課題について考えたことはありますか？今回のAuthZENの取り組みは、クラウドセキュリティの世界に大きな変革をもたらす可能性を秘めています。

まず、「認証」と「認可」の違いを整理しておきましょう。認証（Authentication）は「あなたが誰であるか」を確認するプロセスです。一方、認可（Authorization）は「あなたが何をする権限があるか」を決定するプロセスです。この認可の部分が現在、クラウド環境では非常に分断されているのです。

OpenID財団が提案するAuthZENは、この分断状態を解消するための画期的な取り組みといえます。検索結果から確認すると、AuthZENの開発は2023年後半から始まり、2024年5月28日にはInteropの結果が発表されています。そして2025年3月24〜25日にロンドンで開催されたGartner Identity and Access Management（IAM）サミットでは、15の企業がAuthZENの相互運用性をデモンストレーションしました。

現在のクラウド環境では、AWSやGoogle Cloud、Azureなど各プラットフォームが独自の認可システムを持っています。これは企業にとって大きな負担となっており、セキュリティリスクも高めています。OWASP Top 10リストで「壊れたアクセス制御」が最上位にランクされていることからも、この問題の深刻さがうかがえます。

AuthZENの特筆すべき点は、「ポリシーとしてのコード」（ABAC：属性ベースのアクセス制御）と「ポリシーとしてのデータ」（ReBAC：関係ベースのアクセス制御）という、現在のクラウドネイティブ認可の2つの主要なアプローチを統合しようとしていることです。これは、Tyk LEAPカンファレンスでのOmri Gazitt氏のセッションでも強調されていました。

AuthZENの導入によって企業は何が変わるのでしょうか？まず、異なるクラウドプラットフォーム間で一貫した認可ポリシーを適用できるようになります。これにより、セキュリティの向上とコンプライアンス管理の簡素化が期待できます。また、開発者は認可ロジックをアプリケーションから分離できるため、より柔軟で保守しやすいシステムを構築できるようになります。

一方で、新しい標準の導入には常に課題があります。業界全体での採用には時間がかかるでしょうし、既存システムからの移行コストも考慮する必要があります。また、標準化によって特定のユースケースに対する柔軟性が失われる可能性もあります。

長期的な視点では、AuthZENはクラウドセキュリティの基盤技術として定着する可能性があります。OAuth 2.0やOpenID Connectが認証の標準として広く採用されたように、AuthZENも認可の標準として普及すれば、クラウドネイティブアプリケーションのセキュリティアーキテクチャに大きな影響を与えるでしょう。