認証

クライアント端末にはOS等の最低限の機能のみを持たせ、アプリケーションの実行やデータ管理をサーバ側で行うシステム構成方式。セキュリティの向上、端末管理の簡素化、情報漏洩リスクの低減が利点。VDI等で実現する。

認証されたユーザに対して、リソースや機能へのアクセス権限を付与・制御するプロセス。RBAC（ロールベースアクセス制御）、ABAC（属性ベースアクセス制御）などのモデルがある。認証と認可は別のプロセス。

第三者アプリケーションにリソースへのアクセスを委任するための認可フレームワーク。アクセストークンを用いてリソースサーバにアクセスする。認可コードフロー、クライアントクレデンシャルフローなど複数の認可フローがある。

システムの企画・設計段階からセキュリティを組み込む考え方。後付けでセキュリティ対策を追加するのではなく、アーキテクチャレベルでセキュリティを考慮する。脅威モデリングが重要な活動の一つ。

ネットワークの内外を問わず、すべてのアクセスを信頼せず検証するセキュリティモデル。「信頼しない、常に検証する」を原則とし、マイクロセグメンテーション、継続的認証、最小権限の原則などを組み合わせて実現する。

DevOpsの開発ライフサイクル全体にセキュリティを統合するアプローチ。開発の初期段階からセキュリティテストや脆弱性チェックを自動化し、セキュリティをチーム全員の責任とする。シフトレフトの考え方を適用する。