メインコンテンツへ
セキュリティ

多要素認証(MFA:Multi-Factor Authentication)に関する記述として、適切なものはどれか。

ア.多要素認証とは、同じ要素を2種類以上組み合わせて認証精度を高める方式である。
イ.多要素認証を導入すると、パスワード単体認証と比較してログイン手順が簡略化される。
ウ.多要素認証ではパスワードを使わないため、フィッシング攻撃に対して完全に無効化できる。
エ.多要素認証の3要素とは「知識情報(知っていること)」「所持情報(持っているもの)」「生体情報(その人自身)」の組み合わせである。正解

解説

多要素認証は「銀行の金庫を開けるのに、暗証番号(知識)+カード(所持)+指紋(生体)が必要」な状態。1つだけ盗まれても開かない、という多重防御です。

なぜ エ が正解か

多要素認証の3要素は①知識情報(パスワード・PIN・秘密の質問)、②所持情報(スマートフォン・ハードウェアトークン・ICカード)、③生体情報(指紋・顔・虹彩)です。これら異なる種類(要素)を2つ以上組み合わせることで、1要素が漏洩しても不正ログインを防ぎます。「2段階認証」は必ずしも2要素ではない点に注意(同じ知識情報2つは2段階だが1要素)。

なぜ ア は間違いか

多要素認証は「同じ要素を2種類以上」ではなく「異なる要素を2種類以上」組み合わせる方式です。パスワードとPINの組み合わせは両方「知識情報」であり、これは2段階認証にはなりますが多要素認証ではありません。

なぜ イ は間違いか

多要素認証はセキュリティを高める代わりに、パスワード単体より認証手順が増えます。「手順が簡略化される」は逆で、追加の認証ステップ(OTP入力・プッシュ通知承認等)が発生します。

なぜ ウ は間違いか

多要素認証でもパスワード(知識情報)を使うことがほとんどです。また、スマートフォンへのOTP送信をフィッシングサイトで転送させるリアルタイムフィッシング攻撃も存在しており、「完全に無効化できる」は誤りです。FIDO2/パスキーなどがより耐フィッシング性を高めます。

出典: AI生成問題(学習用)