· トレンド・試験情報  · 11 min read

パスワードだけじゃ足りない!多要素認証(MFA)を1分解説

現代のデジタル社会では、様々なオンラインサービスを利用する機会が増え、それに伴い不正ログインのリスクも高まっています。その中で、パスワードだけではもはや十分なセキュリティ対策とは言えなくなってきました。多要素認証(MFA: Multi-Factor Authentication)は、このような脅威から私たちのアカウントを守るための、非常に強力な認証技術です。これは、単一の認証情報に依存するのではなく、複数の異なる種類の認証要素を組み合わせることで本人確認の精度を格段に高める仕組みを指します。

3行まとめ

  • 「知っているもの(パスワード)」「持っているもの(デバイス等)」「本人しか持たないもの(生体情報)」から2つ以上を組み合わせて本人確認をすること
  • ITパスポート試験では、最新の認証技術(パスキー等)と関連して頻出
  • 不正ログイン被害を劇的に減らす、クラウド時代の必須セキュリティ

多要素認証がセキュリティを劇的に向上させるのは、異なる種類の認証要素を組み合わせる点にあります。例えば、パスワードが漏洩しても、攻撃者があなたのスマートフォンや生体情報を持っていなければ、不正ログインを防ぐことができます。これは、フィッシング詐欺やブルートフォースアタックといった不正ログインの手法に対して極めて高い防御力を発揮し、クラウドサービスを安全に利用する上で今や必須のセキュリティ対策と言えるでしょう。

シラバス上の位置付け

  • テクノロジ系 / セキュリティ / 情報セキュリティ対策(認証技術)
  • テクノロジ系 / ネットワーク / インターネットの利用

出題キーワード

多要素認証を構成する要素は、大きく分けて以下の3つです。ITパスポート試験では、これらの要素がそれぞれどのような認証方法に該当するのか、そしてどのように組み合わせることで多要素認証が成立するのかが問われます。

  • 知識(知っているもの): ユーザーだけが「知っている」情報で認証を行います。

    • 例:パスワード、PINコード、秘密の質問とその答え。
    • なぜ重要か:最も身近で導入しやすい認証方法ですが、忘却や盗聴、推測されやすいリスクがあります。
    • どう試験に出るか:「知識要素」として問われるだけでなく、パスワードの適切な管理方法も関連して出題されます。
    • 実務でどう使うか:ほとんどのオンラインサービスで最初に設定する認証要素です。
  • 所持(持っているもの): ユーザーだけが「持っている」物理的なもので認証を行います。

    • 例:スマートフォン(SMSで送られるワンタイムパスワード、認証アプリ)、セキュリティトークン、ICカード、USBキー。
    • なぜ重要か:物理的に盗まれない限り、第三者が利用しにくいため、知識要素の弱点を補完します。
    • どう試験に出るか:「所持要素」として、ワンタイムパスワードの仕組みや、物理的なデバイスの管理が問われることがあります。
    • 実務でどう使うか:会社支給のスマートフォンやセキュリティキーがこれに該当し、クラウドサービスへのログイン時によく利用されます。
  • 生体(本人しか持たないもの): ユーザーの身体的特徴や行動的特徴といった「本人固有」の情報で認証を行います。

    • 例:指紋、顔、虹彩、声紋、静脈パターン、筆跡。
    • なぜ重要か:忘れる心配がなく、なりすましが非常に困難な、最も強固な認証要素の一つです。
    • どう試験に出るか:「生体認証」の種類と、それぞれの特徴、そして後述する可用性に関する注意点がよく出題されます。
    • 実務でどう使うか:スマートフォンのロック解除や、一部のWebサービスへのログインに広く使われています。

試験での出題ポイント

試験では、「どの組み合わせが多要素認証に該当するか」という事例が問われます。異なるカテゴリに属する2つ以上の要素を組み合わせることが、多要素認証の定義であることを理解しておくことが重要です。

  1. 知識のみ、所持のみ: パスワード+秘密の質問は「知識のみ」なので不十分。

    • パスワード(知識)と秘密の質問(知識)の組み合わせは、どちらも「知っているもの」という同じカテゴリに属するため、多要素認証とは見なされません。秘密の質問の答えは、ソーシャルエンジニアリングなどによって容易に推測されたり、公開情報から得られたりするリスクがあるため、パスワードが漏洩した場合の追加防御にはなりにくいのです。
    • 同様に、複数のICカード(所持)を組み合わせても、それらはすべて「持っているもの」という単一のカテゴリであるため、多要素認証ではありません。異なるカテゴリの要素を組み合わせることが、MFAの核となります。
  2. パスキー (Passkey): 生体認証とデバイスを組み合わせた、パスワードを使わない最新技術。

    • パスキーは、パスワードを使わない次世代の認証技術として注目されており、ITパスポート試験でも頻出のキーワードです。これは、FIDO2(Fast IDentity Online 2)という国際標準技術に基づいており、生体認証(指紋や顔)と、ユーザーが「持っている」デバイス(スマートフォンやPC)を組み合わせることで認証を行います。
    • 具体的には、デバイス上に作成された秘密鍵と公開鍵のペアを使って認証が行われ、秘密鍵はデバイス内に安全に保管されます。ユーザーは生体認証でデバイスのロックを解除し、そのデバイスが持つ秘密鍵を使ってサービスにログインするため、実質的に「生体要素」と「所持要素」の組み合わせとなり、多要素認証として機能します。パスワードの入力が不要になるため、フィッシング詐欺のリスクを大幅に軽減できるのが最大のメリットです。
    • 試験では、パスキーが多要素認証に該当する理由や、パスワードレス認証としての特徴、FIDO2との関連性が問われることがあります。
  3. 注意点: 生体認証は忘れるリスクはないが、怪我などで認識できなくなるリスク(可用性)を考慮。

    • 生体認証は、パスワードのように忘れる心配がない強力な認証手段ですが、その「可用性」には注意が必要です。可用性とは、必要な時にシステムや情報が利用可能である状態を指します。例えば、指を怪我して指紋認証ができない、顔認証のカメラが故障している、といった状況では、生体認証によるログインができなくなる可能性があります。
    • 実務では、このようなリスクを考慮し、生体認証と合わせてバックアップとなる別の認証方法(例えば、パスワードとワンタイムパスワードの組み合わせなど)を用意しておくことが重要です。試験では、生体認証の利点だけでなく、このような潜在的なリスクについても理解しているかが問われます。

【AIハック】生成AIで最速暗記

AIを使って「MFAの組み合わせチェック」を学習しましょう。MFAの概念がしっかり理解できているか、具体的な事例で確認することで、試験対策に役立ちます。

プロンプト例:

「指紋認証(生体)とICカード(所持)の組み合わせは、2要素認証と呼べますか? 理由を添えて100文字以内で回答してください。」

Back to Blog