【問265】個人情報保護士 練習問題|多要素認証
情報セキュリティ 問85/120難易度B(標準)
問題文
多要素認証(MFA)に関する次の記述のうち、最も不適切なものはどれか。
- 1.多要素認証とは、認証の三要素のうち2つ以上の異なる要素を組み合わせて認証を行う方式である
- 2.パスワードと秘密の質問を組み合わせた認証は、多要素認証に該当する
- 3.多要素認証を導入することで、パスワード漏えい時のリスクを低減できる
- 4.スマートフォンアプリで生成されるワンタイムパスワードとパスワードの組み合わせは、多要素認証に該当する
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り(適切な記述)
多要素認証は、知識情報・所持情報・生体情報のうち、2つ以上の異なる要素を組み合わせる方式です。この記述は正確です。
選択肢2 → ✅正解(不適切な記述)
パスワードと秘密の質問はいずれも「知識情報」に該当するため、2つの認証手段を使っていても同一要素の組み合わせにすぎず、多要素認証には該当しません。これは「多段階認証」と呼ばれます。
選択肢3 → ❌誤り(適切な記述)
多要素認証を導入することで、1つの認証要素が漏えいしても、他の要素がなければ認証を突破できないため、リスクを低減できます。
選択肢4 → ❌誤り(適切な記述)
パスワード(知識情報)とスマートフォンアプリのワンタイムパスワード(所持情報)の組み合わせは、異なる要素を使用しているため多要素認証に該当します。
背景知識
多要素認証と多段階認証は混同されやすい概念です。多要素認証は「異なる種類の認証要素」を組み合わせることが必須であり、同じ種類の認証手段を複数組み合わせても多要素認証にはなりません。個人情報保護の観点では、個人データを取り扱う情報システムへのアクセスにおいて多要素認証の導入が推奨されています。特にリモートアクセス環境では、パスワード単体の認証では不十分であり、多要素認証による本人確認の強化が重要です。
学習アドバイス
多要素認証と多段階認証の違いを明確に理解しましょう。「要素が異なるか同じか」がポイントです。パスワード+秘密の質問は両方とも知識情報であるため多要素認証ではない、という点は頻出です。
まとめ
- 多要素認証は「異なる種類」の認証要素を2つ以上組み合わせる
- 同一要素の複数手段は多段階認証であり多要素認証ではない
- パスワード+ワンタイムパスワード(トークン)は多要素認証の典型例