sg sg-security-measures access_control it_security_operations
まず結論
多要素認証は「異なる種類の要素を使う認証」、多段階認証は「複数回に分けて認証する方式」です。
SG試験では「要素の種類」か「認証の回数」かを見極めることが重要です。
直感的な説明
似ているようで、見ているポイントが違います。
多要素認証(MFA)
👉 何で認証するか?
- パスワード(知識)
- スマホ(所持)
- 指紋(生体)
→ 種類が違うものを組み合わせる
多段階認証
👉 何回認証するか?
- ID・パスワード入力
→ 次の画面で追加認証
→ さらに確認
→ ステップを分けて認証する
定義・仕組み
多要素認証(Multi-Factor Authentication)
異なる種類の認証要素を組み合わせて本人確認を行う方式です。
主な要素
- 知識要素:パスワード、暗証番号
- 所持要素:スマートフォン、ICカード
- 生体要素:指紋、顔
👉 ポイント
異なるカテゴリを使うことが重要
多段階認証(Step-Up / Multi-Step Authentication)
複数のステップに分けて認証を行う方式です。
例
- 1回目:ID・パスワード
- 2回目:秘密の質問
- 3回目:ワンタイムパスワード
👉 ポイント
段階的に確認することが特徴
どんな場面で使う?
多要素認証
- インターネットバンキング
- クラウドサービス
- 社内システムログイン
👉 なりすまし対策として主流
多段階認証
- 高リスク操作(送金・設定変更)
- リスクベース認証と組み合わせて追加認証
👉 状況に応じて強化する場面
よくある誤解・混同
❌ 誤解1:同じ意味
→ 違う
- 多要素認証:要素の種類
- 多段階認証:認証の回数
👉 見ている軸が違う
❌ 誤解2:多段階=安全
→ 必ずしもそうではない
例:
- パスワード → 秘密の質問
👉 両方「知識要素」
→ 多要素ではないため強度は低い
❌ 誤解3:多要素=多段階
→ 一致しない
- 同時に入力 → 多要素だが1段階
- 段階的に入力 → 多段階だが多要素とは限らない
SG試験のひっかけパターン
- 「複数回入力しているから多要素」→ ❌
- 「異なる要素を使っている」→ ⭕
- 「同じ種類の認証を複数回」→ 多段階だが弱い
- 「安全性向上の本質は要素の違い」→ ⭕
まとめ(試験直前用)
- 多要素認証=異なる種類の要素を使う
- 多段階認証=複数回に分けて認証する
- 多段階でも同じ要素なら強くない
- セキュリティの本質は「要素の多様性」
- 「種類か回数か」で選択肢を切る
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【情報セキュリティマネジメント】