対象試験と出題頻度
二要素認証(2FA)は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者の全試験で頻出するセキュリティ用語です。
頻出度は最高ランクの「S(絶対に覚える必要あり)」。多要素認証や二段階認証と混同しやすいため、違いを明確に理解しておく必要があります。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(絶対に覚える必要あり)
用語の定義
二要素認証(2FA:Two-Factor Authentication)とは、一言で言うと「認証の3要素(知識・所持・生体)のうち、異なる2つの要素を組み合わせて本人確認を行う認証方式」のことです。
イメージとしては、「マンションのオートロックで、暗証番号(知識)を入力した後に、鍵(所持)を使って玄関を開ける」ようなものです。
暗証番号だけ知っていても、鍵を持っていなければ入れない。鍵だけ持っていても、暗証番号を知らなければ入れない。この「異なる種類の要素を2つ」という点が二要素認証の核心です。
📊 二要素認証・多要素認証・二段階認証の違い
| 認証方式 | 定義 | ポイント |
|---|---|---|
| 二要素認証 | 異なる2つの要素で認証 | 要素の「種類」が2つ |
| 多要素認証 | 異なる2つ以上の要素で認証 | 二要素認証を含む上位概念 |
| 二段階認証 | 認証を2回に分けて実施 | 要素の種類は問わない |
解説
「二要素認証と二段階認証って同じじゃないの?」と疑問に思う受験生は多いです。結論から言うと、二要素認証は「異なる種類の要素を2つ使う」こと、二段階認証は「認証を2回行う」ことであり、意味が異なります。
二段階認証は、同じ種類の要素を2回使っても成立します。例えば、パスワード(知識)と秘密の質問(知識)を組み合わせた場合、認証は2回行われますが、どちらも「知識情報」という同じ要素です。これは二段階認証ではありますが、二要素認証ではありません。
一方、二要素認証は必ず異なる種類の要素を使います。パスワード(知識)とスマホへのSMS認証コード(所持)の組み合わせは、知識と所持という異なる要素を使っているため、二要素認証です。そして、二要素認証は必然的に2回の認証を経るため、二段階認証でもあります。
📌 試験で狙われる混同ポイント
試験では「二要素認証=二段階認証」と誤解させる選択肢が出題されます。覚え方は簡単です。「段階」は回数、「要素」は種類。
パスワードと秘密の質問は「2回」の認証だけど「1種類」の要素(どちらも知識)。パスワードとSMS認証は「2回」の認証で「2種類」の要素(知識と所持)。この違いを押さえておけば、試験で迷うことはありません。
認証の3要素をおさらい
二要素認証を正しく理解するために、認証の3要素を確認しておきましょう。
- 知識情報(Something You Know):本人だけが知っている情報です。パスワード、暗証番号(PIN)、秘密の質問への回答、パターンロックなどが該当します。
- 所持情報(Something You Have):本人だけが持っているモノです。スマートフォン、ICカード、ハードウェアトークン、USBセキュリティキーなどが該当します。スマホへのSMS送信やワンタイムパスワードも所持情報に分類されます。
- 生体情報(Something You Are):本人の身体的特徴です。指紋、顔、虹彩(目の模様)、静脈パターン、声紋などが該当します。
二要素認証では、この3つの中から「異なる2つ」を組み合わせます。知識+所持、知識+生体、所持+生体のいずれかの組み合わせが二要素認証です。
💡 なぜ二要素認証が重要なのか?
パスワードだけの認証(単要素認証)は、パスワードが漏洩すると一発で突破されます。フィッシング詐欺、リスト型攻撃、総当たり攻撃など、パスワードを破る手法は数多く存在します。
二要素認証を導入すれば、たとえパスワードが漏れても、攻撃者はスマホや指紋という「別の要素」を手に入れない限りログインできません。現在、ネットバンキング、クラウドサービス、SNSなど、多くのサービスで二要素認証が標準的に採用されています。
二要素認証の具体例
身近なサービスでの二要素認証の例を見てみましょう。
ネットバンキングでは、ID・パスワード(知識)でログインした後、スマホアプリに届くワンタイムパスワード(所持)を入力します。これは知識+所持の二要素認証です。
ATMでの現金引き出しでは、キャッシュカード(所持)を挿入し、暗証番号(知識)を入力します。これも所持+知識の二要素認証です。昔からある仕組みですが、実は二要素認証の代表例です。
企業の入退室管理では、社員証(ICカード=所持)をかざした後、指紋認証(生体)を行うケースがあります。これは所持+生体の二要素認証です。
⚠️ 実務でのポイント
二要素認証を導入すると、セキュリティは大幅に向上しますが、万能ではありません。例えば、フィッシングサイトでパスワードとワンタイムパスワードを同時に入力させられると、リアルタイムで不正ログインされる可能性があります(リアルタイムフィッシング)。
また、SIMスワップ詐欺(携帯電話の乗っ取り)によってSMS認証が突破されるケースも報告されています。二要素認証は「完璧」ではなく「大幅な改善」であることを理解しておきましょう。
試験ではこう出る!
二要素認証は、情報処理技術者試験のセキュリティ分野で最も出題頻度が高い用語の一つです。以下のキーワードとセットで確実に覚えましょう。
【重要キーワード】
- 認証の3要素:知識情報 / 所持情報 / 生体情報
- 異なる2つの要素を組み合わせる
- 多要素認証の一種(部分集合)
- 二段階認証とは異なる(段階≠要素)
- パスワード+ワンタイムパスワード / ICカード+暗証番号
試験問題で「知識情報、所持情報、生体情報のうち、異なる2つの要素を組み合わせて認証を行う」や「パスワードに加えて、スマートフォンに送信されたコードを入力する」といった記述があれば、それは「二要素認証」に関する記述です。
📊 具体例で判断する(試験対策)
| 認証の組み合わせ | 要素の種類 | 二要素認証か? |
|---|---|---|
| パスワード+ワンタイムパスワード | 知識+所持 | ○ |
| ICカード+暗証番号 | 所持+知識 | ○ |
| パスワード+指紋認証 | 知識+生体 | ○ |
| パスワード+秘密の質問 | 知識+知識 | ×(二段階認証) |
| 指紋認証+顔認証 | 生体+生体 | ×(二段階認証) |
📝 IPA試験での出題ポイント
二要素認証の問題では、「どの組み合わせが二要素認証に該当するか」を判断させる出題が定番です。判断基準は「要素の種類が2つあるか」です。
パスワードと秘密の質問は、どちらも「本人だけが知っている情報」なので同じ知識情報です。パスワード(知識)とスマホへのSMS認証コード(所持=スマホを持っている)は異なる要素なので二要素認証です。試験ではここまででOK。この判断基準さえ押さえておけば確実に正解できます。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. 二要素認証(2FA)に関する説明として、最も適切なものはどれでしょうか?
- A. パスワードと秘密の質問を組み合わせて、2回に分けて認証を行う方式
- B. ユーザーのアクセス状況を分析し、リスクが高い場合にのみ追加認証を行う方式
- C. 知識情報、所持情報、生体情報のうち、異なる2つの要素を組み合わせて本人確認を行う認証方式
正解と解説を見る
正解:C
解説:
二要素認証(2FA:Two-Factor Authentication)は、認証の3要素である「知識情報」「所持情報」「生体情報」のうち、異なる2つの要素を組み合わせて本人確認を行う認証方式です。例えば、パスワード(知識)とスマホへのワンタイムパスワード(所持)の組み合わせは、異なる2つの要素を使っているため二要素認証に該当します。
選択肢Aの「パスワードと秘密の質問」は、どちらも知識情報という同じ種類の要素です。これは「二段階認証」ではありますが、「二要素認証」ではありません。選択肢Bは「リスクベース認証」の説明であり、二要素認証とは異なる認証方式です。
