【問197】個人情報保護士 練習問題|不正アクセス・サイバー攻撃の種類と対策
情報セキュリティ 問17/120難易度B(標準)
問題文
多要素認証に関する次の記述のうち、最も適切なものはどれか。
- 1.多要素認証とは、同じ種類の認証要素を複数回使用する認証方式である
- 2.多要素認証では、知識情報・所持情報・生体情報の3つの要素のうち2つ以上を組み合わせて認証を行う
- 3.多要素認証を導入すれば、パスワードの管理は一切不要になる
- 4.多要素認証はオンラインバンキングでのみ使用される認証方式であり、一般のWebサービスでは利用できない
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
同じ種類の認証要素(例:パスワード2つ)を使用するのは「多段階認証」であり、「多要素認証」とは異なります。多要素認証は異なる種類の要素を組み合わせます。
選択肢2 → ✅正解
多要素認証(MFA)は、知識情報(パスワード等)、所持情報(ICカード、スマートフォン等)、生体情報(指紋、顔認証等)の3つの認証要素のうち2つ以上を組み合わせて本人確認を行う方式です。
選択肢3 → ❌誤り
多要素認証はパスワードを補完するものであり、パスワード自体の適切な管理は引き続き必要です。
選択肢4 → ❌誤り
多要素認証はオンラインバンキングに限らず、メール、SNS、クラウドサービスなど多くのWebサービスで利用可能です。
背景知識
多要素認証はパスワードリスト攻撃やフィッシング攻撃への有効な対策として広く普及が進んでいます。認証の3要素は「知識(Something you know)」「所持(Something you have)」「生体(Something you are)」で、これらの異なる要素を組み合わせることで安全性を高めます。近年ではFIDO2/WebAuthnなどパスワードレス認証の普及も進んでおり、フィッシング耐性のある認証方式への移行が推奨されています。
学習アドバイス
認証の3要素(知識・所持・生体)とそれぞれの具体例を正確に覚えましょう。「多要素認証」と「多段階認証」の違いは頻出です。
まとめ
- 多要素認証は知識・所持・生体の異なる要素を組み合わせる
- パスワードリスト攻撃やフィッシング対策に有効
- 多段階認証との違いを理解することが重要