令和3年度 ITパスポート試験 公開問題 問60 解説 二段階認証の例

二段階認証とは、ログインプロセスにおいて異なる2つの認証要素を順番に行う仕組みのことです。認証要素には大きく分けて「知識情報（IDやパスワード、秘密の質問など）」「所持情報（スマートフォンやセキュリティトークンなど）」「生体情報（指紋や顔認証など）」の3種類があります。選択肢ウが正解である理由は、IDとパスワードという知識情報に加えて、秘密の質問という別の情報を追加することで、2段階のプロセスを経てログインを完了させているからです。

認証要素の分類を整理すると、選択肢を判断しやすくなります。

IDやパスワードはどちらも本人が知っている情報（知識）です。試験で問われる「二段階認証」や、よりセキュリティレベルの高い「二要素認証」において重要なのは、同じ種類の要素を繰り返すのではなく、異なる要素を組み合わせることです。

選択肢アのゆがんだ文字列はCAPTCHAと呼ばれ、ボットによる自動入力を防ぐための仕組みです。これは認証の「段階」を分けているわけではなく、ログイン前の確認作業にあたります。

選択肢イは、入室と退室の状況を管理する仕組みであり、本人確認のプロセスを2段階に重ねているわけではありません。

選択肢エは、ID入力とパスワード入力を画面分割して行っているに過ぎません。これらはどちらも「知識情報」という同一の認証要素であるため、二段階認証には該当しません。

実際のシステム運用では、スマートフォンに届くワンタイムパスワード（所持情報）を併用するのが一般的です。これは、万が一パスワードが漏洩しても、物理的にスマートフォンを所有していなければログインできないため、非常に強力なセキュリティ対策となります。試験では、認証要素がどのような分類（知識・所持・生体）にあたるのかを意識して選択肢を検討するようにしてください。

• 日本ネットワークセキュリティ協会（JNSA）：多要素認証・二要素認証とは