対象試験と出題頻度
多要素認証(MFA)は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者の全試験で頻出するセキュリティ用語です。
頻出度は最高ランクの「S(絶対に覚える必要あり)」。認証に関する問題では、ほぼ確実に選択肢として登場します。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(絶対に覚える必要あり)
用語の定義
多要素認証(MFA:Multi-Factor Authentication)とは、一言で言うと「知識・所持・生体の3種類の認証要素から、異なる2つ以上を組み合わせて本人確認を行う認証方式」のことです。
イメージとしては、「銀行の貸金庫を開けるのに、暗証番号(知識)と鍵(所持)の両方が必要」なようなものです。
どちらか一方だけでは開けられない。この「複数の要素を組み合わせる」という考え方が多要素認証の核心です。パスワードが漏れても、スマホが手元にあれば不正アクセスを防げる。スマホを盗まれても、パスワードを知らなければログインできない。こうして認証の強度を高めています。
📊 認証の3要素
| 認証要素 | 意味 | 具体例 |
|---|---|---|
| 知識情報 | 本人だけが知っている情報 | パスワード、暗証番号、秘密の質問 |
| 所持情報 | 本人だけが持っているモノ | スマホ、ICカード、ワンタイムパスワード生成器 |
| 生体情報 | 本人の身体的特徴 | 指紋、顔、虹彩、静脈パターン |
解説
「多要素認証と二段階認証って何が違うの?」という疑問を持つ受験生は多いです。結論から言うと、多要素認証は「異なる種類の要素を2つ以上使う」こと、二段階認証は「認証を2回行う」ことです。
二段階認証でも、同じ種類の要素(例:パスワード+秘密の質問)を2回使うだけなら、多要素認証にはなりません。
多要素認証が求められる背景には、パスワード認証だけでは不十分という現実があります。パスワードは漏洩・推測・総当たり攻撃などで破られるリスクがあります。実際、多くの不正アクセス事件では、パスワードの漏洩や使い回しが原因になっています。そこで、パスワードが破られても、別の要素がなければログインできない仕組みとして、多要素認証が普及しました。
💡 なぜ多要素認証が重要なのか?
不正アクセスの手口は年々巧妙化しています。フィッシング詐欺でパスワードを盗む、過去に漏洩したパスワードリストを使い回す(リスト型攻撃)、総当たりで解読するなど、パスワード単体を突破する方法はいくらでもあります。
多要素認証を導入すれば、たとえパスワードが漏れても、攻撃者は「スマホ」や「指紋」という別の要素を手に入れない限りログインできません。セキュリティの基本は「一つが破られても、次で止める」という多層防御の考え方であり、多要素認証はその代表例です。
3つの認証要素の詳細
試験対策として、3つの認証要素をしっかり区別できるようにしておきましょう。
- 知識情報(Something You Know):本人だけが知っている情報です。パスワード、暗証番号(PIN)、秘密の質問への回答などが該当します。最も広く使われていますが、忘れる・漏洩するリスクがあります。
- 所持情報(Something You Have):本人だけが持っているモノです。スマートフォン、ICカード、ハードウェアトークン(ワンタイムパスワード生成器)、USBセキュリティキーなどが該当します。紛失・盗難のリスクがあります。
- 生体情報(Something You Are):本人の身体的特徴です。指紋、顔、虹彩(目の模様)、静脈パターン、声紋などが該当します。偽造が難しく、忘れることもありませんが、一度漏洩すると変更できないというリスクがあります。
多要素認証の具体例
身近なサービスでの多要素認証の例を見てみましょう。
ネットバンキングでは、ログイン時にID・パスワード(知識)を入力した後、スマホアプリに届くワンタイムパスワード(所持)を入力します。これは知識+所持の二要素認証です。
スマートフォンのロック解除では、指紋認証(生体)や顔認証(生体)が使われています。さらに、指紋認証に失敗したらパスコード(知識)を入力する、という組み合わせも多要素認証の一種です。
企業の業務システムでは、社員証(ICカード=所持)をかざした後、パスワード(知識)を入力するケースが多いです。機密性の高いシステムでは、さらに指紋認証(生体)を追加することもあります。
📌 二段階認証との違い(試験で狙われるポイント)
「パスワード」と「秘密の質問」を組み合わせた認証は、多要素認証ではありません。
どちらも「知識情報」という同じ要素で「二段階認証」です。
「多要素認証(二要素認証)」ではありません。試験では、この違いを問う問題が出題されます。「知識+知識」「所持+所持」は多要素認証にならない、という点を必ず押さえておきましょう。
⚠️ 実務でのポイント
多要素認証を導入すると、セキュリティは大幅に向上しますが、利便性とのバランスも考える必要があります。認証の手間が増えると、ユーザーの負担が増加し、生産性が低下する可能性があります。
そのため、リスクの高い操作(送金、設定変更など)にのみ多要素認証を適用する、あるいはリスクベース認証と組み合わせて普段は追加認証を省略するなど、運用面での工夫が求められます。
試験ではこう出る!
多要素認証は、情報処理技術者試験のセキュリティ分野で最も出題頻度が高い用語の一つです。以下のキーワードとセットで確実に覚えましょう。
【重要キーワード】
- 3つの認証要素:知識情報 / 所持情報 / 生体情報
- 異なる2つ以上の要素を組み合わせる
- 二要素認証(2FA)は多要素認証の一種
- 二段階認証とは異なる(段階≠要素)
- ワンタイムパスワード / ICカード / 指紋認証
試験問題で「知識情報、所持情報、生体情報のうち、異なる2つ以上の要素を組み合わせて認証を行う」や「パスワードに加えて、スマートフォンに送信されたコードを入力する」といった記述があれば、それは「多要素認証」に関する記述です。
📊 認証方式の比較(試験対策)
| 認証方式 | 特徴 | 多要素認証か? |
|---|---|---|
| パスワード+ワンタイムパスワード | 知識+所持 | ○ |
| パスワード+指紋認証 | 知識+生体 | ○ |
| ICカード+暗証番号 | 所持+知識 | ○ |
| パスワード+秘密の質問 | 知識+知識 | × |
| 指紋認証+顔認証 | 生体+生体 | × |
📝 IPA試験での出題ポイント
多要素認証の問題では、「どの組み合わせが多要素認証に該当するか」を判断させる出題が定番です。ポイントは「要素の種類が異なるか」です。
パスワードと暗証番号はどちらも知識情報なので、組み合わせても多要素認証にはなりません。一方、パスワード(知識)とスマホへのSMS認証コード(所持)の組み合わせは、異なる要素なので多要素認証です。「二段階=多要素」ではない点を絶対に押さえておきましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. 多要素認証(MFA)に関する説明として、最も適切なものはどれでしょうか?
- A. ユーザーのアクセス状況を分析し、リスクが高いと判断した場合にのみ追加の認証を要求する方式
- B. 知識情報、所持情報、生体情報のうち、異なる2つ以上の要素を組み合わせて本人確認を行う認証方式
- C. 1回の認証で複数のシステムやサービスにログインできるようにし、認証の手間を省く方式
正解と解説を見る
正解:B
解説:
多要素認証(MFA:Multi-Factor Authentication)は、認証の3要素である「知識情報(パスワードなど)」「所持情報(スマホ、ICカードなど)」「生体情報(指紋、顔など)」のうち、異なる2つ以上の要素を組み合わせて本人確認を行う認証方式です。パスワードが漏洩しても、別の要素(スマホや指紋など)がなければ認証が成功しないため、セキュリティが大幅に向上します。
選択肢Aは「リスクベース認証」の説明です。リスクベース認証は普段と異なるアクセスを検知した場合のみ追加認証を行う方式で、多要素認証とは異なります。選択肢Cは「シングルサインオン(SSO)」の説明であり、いずれも多要素認証とは別の認証方式です。
