令和5年度 ITパスポート試験 公開問題 問62 解説 認証の3要素

認証要素に関する問題は、選択肢に含まれる「個人情報」という言葉に惑わされないことが正解への近道です。認証の3要素は、システムが本人を確認するために用いる情報の分類であり、以下の3つと決まっています。

・知識情報（本人のみぞ知る情報） ・所持情報（本人のみが持つ物） ・生体情報（本人の身体的特徴）

この3つのいずれか、あるいは複数を組み合わせるのが認証の基本ルールです。

認証の3要素の詳細

1. 知識情報 本人の記憶に基づいた情報です。パスワードや暗証番号、秘密の質問への答えなどが該当します。忘れてしまうリスクがある一方で、特別な機器を用意する必要がないため、最も手軽に導入できる認証方法です。

2. 所持情報 本人が物理的に持っている物を用いた認証です。キャッシュカード、ICカード、社員証のほか、ワンタイムパスワードを発行するためのトークンや、スマートフォンに届くSMS認証などもこれに含まれます。

3. 生体情報 本人の身体的な特徴や行動の癖を利用する認証です。指紋、顔、虹彩（目の瞳の模様）、静脈パターンなどが代表的です。他人に譲渡したり忘れたりすることができないため、セキュリティレベルが非常に高いとされています。

注意すべき点として、氏名、住所、生年月日、電話番号といった「個人情報」は、本人確認のためのデータベースには使われることがありますが、情報セキュリティにおける「認証要素（本人かどうかの鍵）」には含まれません。個人情報は誰かが知っている可能性が高い情報であり、それ単体では本人認証の根拠として信頼性が低いためです。

実際の試験での出題パターン

この知識は、単なる知識問題としてだけでなく、多要素認証に関連した問題でも頻出です。例えば「セキュリティ強度を高めるために、異なる種類の認証要素を組み合わせて認証を行うことを何というか」という問いに対して「多要素認証」と答えさせたり、具体的なログイン手順を示して「これは知識情報と所持情報の組み合わせである」といった判断を求めたりするパターンがあります。

現代のシステムでは、パスワード（知識情報）だけに頼るのではなく、スマホのSMS認証（所持情報）を組み合わせることで、万が一パスワードが流出しても不正ログインを防ぐ仕組みが一般的です。認証の3要素を整理しておくことは、情報セキュリティ全般の理解を深める土台となります。

IPA 情報セキュリティの基礎知識：認証 総務省 国民のための情報セキュリティサイト：認証技術 ITパスポート試験ドットコム：認証の3要素