セキュリティ入門Web講座

制限等の全項目 ~ 迷惑メール対策法の制限等&罰則 まとめ ~多段階(2段階)認証と多要素(2要素)認証とは?
この記事を読むために必要な時間は約6分(2067文字)です。

多段階(2段階)認証と多要素(2要素)認証の違い

  • 投稿日:2021-01-07 
  • 表示:195PV 
  • カテゴリ:用語
最近のニュースでは、情報サイバー攻撃に対して、2段階認証を導入という話が出ています。
ただ、2段階認証と2要素認証を誤解したような内容もあり、よくわからないという声も聞くので、今回、お話をします。

なぜ誤解する?

誤解しているというお話の回答です。

回答

前回お話をしたように、「2要素認証」と「2段階認証」は別なので、「2要素2段階認証」と要素段階両方記載すれば良いのですが、ニュース記事などでは、紙面の都合などにより、著者がどちらかを省略して書いていることがあります。
この省略の仕方が、誤解を生じる原因です。

説明

少し前は(一部では現在も・・・)、IDとパスワードによる1要素・1段階認証が利用されていました。
しかし、サービスが増えて、覚えられないなどの理由によるパスワードの使い回しや、攻撃による情報漏洩、CPU・GPUの高性能化に伴うハッシュの高速解読など、様々な問題が発生しました。
このため、最近では、IDとパスワードによる1要素・1段階認証だけでは、安全性を確保できないと、段階要素増やした認証へと移行してきています。

ここで問題になってくるのが、段階と要素とを組み合わせた認証方法です。
組み合わせで行くと、次のような表になります。

要素
3以上
段階1要素1段階認証2要素1段階認証多要素1段階認証
1要素2段階認証2要素2段階認証多要素2段階認証
3以上1要素多段階認証2要素多段階認証多要素多段階認証

安全性(セキュリティ)を考慮して認証が増えた時に、特に、上記の組み合わせ表で黄色で表記した、1段階につき1要素を用いる認証が増えたのです。
この1段階につき1要素の認証が誤解を生じる原因です。
上記の表のように、「2要素2段階認証」と要素段階両方記載すれば、誤解することはありません。
ところが、ニュース記事などでは、著者がどちらかを省略して書いていることがあります。
この場合に、誤解して省略している場合があるのです。

要素数と段階数が同じ場合

2要素・2段階認証を例にお話をします。

要素数増やして安全性を向上させている場合(上記の表の黄色と赤)、2段階を省略する「2要素認証」を用いているのであればよいのです。
しかし、現実には、「2段階認証」を用いている場合があります。

逆に、段階数増やして安全性を向上されている場合(上記の表の黄色と青)に、「2要素認証」を用いている場合もあります。

著者がセキュリティに詳しくはなく、あまり意識していない場合や理解していない場合もあるので、読み替える必要があります。

要素数と段階数が異なる場合

2要素1段階認証と1要素2段階認証を例にお話をします。

2要素1段階認証

ネットを例にすると、使用例が少ないので、わかりにくいです。
この認証方式をお話するのに分かりやすいのは、入退出するゲートです。

入退出ゲートというと、セキュリティ対策とは関係ないという方がいるかもしれないので補足します。
セキュリティ関連規定の物理的対策でお話をしたように、入退出ゲートも立派なセキュリティ対策です。

入退出ゲートで、社員証(持っている要素)と顔(備えている要素)を1度に照合して、入退出するような場合がこの「2要素1段階認証」です。
これを「2要素認証」というならば良いのですが、「2段階認証」という場合があります。
2段階ではないので、誤解していることになります。

なお、社員証が先で顔認証が後など、順番が決まっている場合は、段階があるので、「2要素2段階認証」となりますので、2段階認証と言っても、それほど気になる事はないのですが。

1要素2段階認証

1要素を2段階にして意味があるのか?と疑問に持たれるかもしれません。
しかし、この認証方式を利用している場合もあります。

例えば、銀行の送金などで用いられる「送金パスワード」や「取引パスワード」などと呼ばれる「知っている要素」を利用する方式です。
1段階目はログイン時にIDとパスワードという「知っている要素」で認証し、2段階目は送金時に同じく「知っている要素」で認証します。
このため、「知っている要素」という、1要素で2段階の認証を行ってます。
あまり例はないですが、この方式を「2要素認証」といわれている場合があります。
2要素ではないので、誤解していることになります。

なお、ログインパスワードと取引パスワードを一度に認証する場合は、「1要素・1段階認証」になります。
現実には、ログインせずにいきなり送金画面に進むようなことはあまりないとは思いますが・・・。
この場合でも、「2要素」ではないですね。

まとめ

セキュリティに関する記事などでは、「2段階認証」と「2要素認証」が逆になっている場合がある。
言葉の間違いを指摘するよりは、要素と段階とどちらを利用して、安全性(セキュリティ)を高めているかを意識して、言葉を読み替えるようにしましょう。

タグ:, ,

関連記事

  1. アクセス制御及び認証 その2 ~ セキュリティ関連規程の記載事項について ~

制限等の全項目 ~ 迷惑メール対策法の制限等&罰則 まとめ ~多段階(2段階)認証と多要素(2要素)認証とは?
広告枠・・・広告やリンク先の保証はしません

参考記事(一部広告含む)


このページの記事についてちょっと質問!

制限等の全項目 ~ 迷惑メール対策法の制限等&罰則 まとめ ~多段階(2段階)認証と多要素(2要素)認証とは?