多要素認証とは？二要素認証・二段階認証との違いを解説

過去にキャッシュレス決済サービスの不正利用が起こった際、「二段階認証」がトレンドワードとなったことがありました。

多要素認証と二要素認証、二段階認証は名称こそ似ていますが、意味は異なります。

では、今必要だとされている「多要素認証」とはどのようなものなのでしょうか。

今回は、多要素認証の概要をご説明しながら、二要素認証・二段階認証との違いについてもご紹介します。

目次

1. 多要素認証とは
   1. 認証の3要素
   2. 多要素認証の例と流れ
2. 多要素認証・二要素認証・二段階認証の違いとは
3. なぜ多要素認証が必要なのか
4. まとめ

多要素認証の例として、スマートフォンアプリを使った認証コードによる「アプリ認証」が挙げられます。アプリ認証では、下記のような流れで2つの要素による認証が行われます。

多要素認証の流れ

1. ユーザーが「ID／パスワード（知識要素）」でサービスにログインする
2. 本人が所有しているスマートフォンのアプリに、1回のみ使える「ワンタイムパスワード（所有要素）」が表示される
3. ワンタイムパスワードをサービスの該当画面に入力する
4. 正しければログインが完了

二要素認証とは、2つの要素を使った本人認証のことです。多要素認証の一部といえます。

対して二段階認証は、認証の段階を2回経て認証しますが、要素の数は問われません。

例えば、ID・パスワードでログインを行ったあと「秘密の質問」の答えを入力する認証方式があります。この方式では認証の段階を2つ踏むため"二段階認証"といえます。

しかし、「パスワード」と「秘密の質問」はいずれも知識要素のため、一要素の認証です。

万一サイバー攻撃を受けた際は2つの知識要素が同時に流出する可能性も考えられることから、認証の"段階"が多ければ必ず認証が強固になるとはいえません。

二段階認証と二要素認証は混同されやすいのですが、"二段階認証"と紹介されていても、認証の要素は1つだけである場合もあります。

二段階認証であれば二要素認証でもあるとは限らないため注意が必要です。

多要素認証を取り入れれば、流出したID／パスワードで悪意の第三者がログインを試みた場合にも所有要素や生体要素での認証を要求するため、そう簡単にはログインを許しません。

多要素認証は、不正ログイン防止策として期待されているのです。