まず結論

多要素認証（MFA）とは、異なる種類の認証要素を組み合わせて本人確認を強化する仕組みであり、SG試験では「異なる要素を使っているか」を見抜くことが重要です。

---

直感的な説明

パスワードだけの認証は、知られてしまうと突破されます。

そこで👇

• パスワード（知っている）
• スマホ（持っている）

👉 2つを組み合わせると安全性が上がります。

---

つまり
1つではなく“別の種類”を組み合わせるのがポイント

---

定義・仕組み

多要素認証は、異なる認証要素を複数組み合わせて本人確認を行う方式です。

---

■ 認証要素の3種類（最重要）

① 知識要素（Something you know）

• パスワード
• 暗証番号

---

② 所持要素（Something you have）

• スマートフォン
• ICカード
• ワンタイムパスワード

---

③ 生体要素（Something you are）

• 指紋
• 顔認証

---

👉
異なる要素を組み合わせて初めてMFA

---

■ 具体例

• パスワード＋ワンタイムパスワード → MFA（◎）
• パスワード＋秘密の質問 → 同じ知識要素（✕）

---

どんな場面で使う？

■ 使う場面

• ログイン認証
• クラウドサービス
• 管理者アカウント

---

👉 SG試験では
「これは多要素認証か？」と問われます。

---

■ 使うと誤解しやすい場面

• 2つ使っていればMFA
  → 同じ要素ならNG

---

よくある誤解・混同

❌ 「2つ認証すれば多要素認証」

→ ⭕ 異なる種類である必要がある

---

❌ 「パスワード＋秘密の質問＝MFA」

→ ⭕ 両方とも知識要素なので違う

---

❌ 「多段階認証＝多要素認証」

→ ⭕

• 多段階 → 回数
• 多要素 → 種類

---

■ SG試験でのひっかけ

• 「パスワード＋秘密の質問」
  → MFAではない

• 「ICカード＋パスワード」
  → MFA

👉
“種類が違うか”で判断する

---

まとめ（試験直前用）

• MFA＝異なる認証要素の組み合わせ
• 知識・所持・生体の3種類
• 同じ種類を2つ使ってもMFAではない
• SGでは「種類の違い」で判断する
• 迷ったら要素の分類を見る

🔗 関連記事

• アクセス制御モデルとは？RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
• アクセス管理とは？特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
• 認証・アクセス制御まとめ｜SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
• 認証・認可・アクセス制御の違いとは？役割の切り分けを整理【情報セキュリティマネジメント】
• 認証方式とは？3要素と多要素認証を整理【SG試験】

---

🏠 情報セキュリティマネジメントトップに戻る

← パスワード管理とは？強度とロックアウトの考え方を整理【情報セキュリティマネジメント】 多要素認証と多段階認証の違いとは？混同しやすい認証方式を整理【情報セキュリティマネジメント】 →