sg sg-security-overview access_control it_security_operations
まず結論
認証方式は、利用者が本人であることを確認する方法で、「知識・所持・生体」の3要素に分類されるものです。
SG試験では「どの要素か」「多要素か」を判断させる問題で問われます。
直感的な説明
「家の鍵」をイメージすると分かりやすいです。
- パスワード → 覚えているもの(知識)
- 鍵 → 持っているもの(所持)
- 指紋 → 体の特徴(生体)
👉
本人確認の方法はこの3つに分けられると考えます。
定義・仕組み
認証方式は、次の3つに分類されます。
① 知識要素(Something you know)
- パスワード
- PINコード
👉 本人しか「知っているはず」の情報
② 所持要素(Something you have)
- ICカード
- ワンタイムパスワード(トークン)
- スマートフォン
👉 本人が「持っているもの」
③ 生体要素(Something you are)
- 指紋
- 顔認証
- 虹彩
👉 本人の「身体的特徴」
多要素認証(MFA)
異なる要素を2つ以上組み合わせる認証です。
例:
- パスワード(知識)+スマホ(所持)
- ICカード(所持)+指紋(生体)
👉
異なる要素を組み合わせることが重要
どんな場面で使う?
使う場面
- 社内システムログイン
- VPN接続
- クラウドサービス
👉 現場では
不正アクセス防止の基本対策として必須
使うと誤解しやすい場面
- パスワード+秘密の質問
→ 同じ「知識要素」なので多要素ではない
よくある誤解・混同
SG試験の頻出ポイントです。
❌ パスワード+暗証番号=多要素認証
→ ⭕
どちらも知識要素 → 多要素ではない
❌ ワンタイムパスワードは知識要素
→ ⭕
所持要素(トークンやスマホ)
❌ ICカード+社員番号で多要素
→ ⭕
社員番号は知識要素だが、
単なる識別情報の場合は認証として弱い
❌ 生体認証は絶対安全
→ ⭕
漏えいした場合に変更できないリスクあり
👉 SG試験では
「異なる要素かどうか」で判断するのが最重要です。
まとめ(試験直前用)
- 認証方式は知識・所持・生体の3分類
- 多要素認証は異なる要素の組み合わせ
- 同じ要素の組み合わせはNG
- ワンタイムパスワードは所持要素
👉 判断基準
異なる要素 → 多要素認証
同じ要素 → 多要素ではない
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 攻撃者の種類とは?目的と特徴で整理する【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】