ITパスポート 令和4年度 問82：情報セキュリティ・多要素認証に関する問題

答えは c（a、c） です。

認証には3つのタイプがあります。①知っていること（パスワード・秘密の質問）②持っているもの（ICカード）③体の特徴（顔・指紋）。「二要素」とは、この“別々のタイプ”を2つ組み合わせることです。

もとがパスワード（①知識）なので、追加するなら②か③が必要。

a ICカード＝②持ち物、c 顔＝③身体なのでOK。

b 秘密の質問は①知識でパスワードと同じ仲間なので、足しても“1タイプ”のままで二要素になりません。

👉 覚え方：「知識・持ち物・体」から違う2つ。

なぜこれが正解か

正解は c（a、c）。多要素認証は「知識要素・所持要素・生体要素」という異なる種類の要素を組み合わせる。既存のパスワードは知識要素なので、別種を足せば二要素になる。

• a ICカード＝所持要素 → パスワード（知識）＋所持で二要素 ○
• c 顔の特徴＝生体要素 → 知識＋生体で二要素 ○

なぜbはダメか

• b 秘密の質問＝知識要素。既存のパスワードと同じ種類のため、追加しても要素は1種類のままで二要素にならない。

覚え方・ひっかけ注意

「二段階認証」と「二要素認証」は別物。要素の“種類”が異なるかがポイント。パスワード＋秘密の質問は二段階ではあっても、ともに知識要素なので二要素ではない、という引っかけが頻出。

理論的背景

多要素認証（MFA：Multi-Factor Authentication）の理論的根拠は「要素の独立性」にある。認証の3要素——Something you know（知識：パスワード・PIN・秘密の質問）、Something you have（所持：ICカード・スマートフォン・ハードウェアトークン）、Something you are（生体：指紋・顔・虹彩・静脈）——はそれぞれ異なる攻撃手法で突破される。知識要素はフィッシングや漏えいで盗まれ、所持要素は物理的窃取で奪われ、生体要素はスプーフィング（偽造）や乗っ取りで突破される。攻撃者が異なる種別の要素を同時に入手するコストは格段に高く、これが二要素認証のセキュリティ強度の根拠となる。NIST SP 800-63Bでも「要素の種別の相違」を二要素認証の必要条件として明記しており、秘密の質問のみの追加（知識＋知識）は二要素認証と認めない。

実務での使われ方

ICカード（選択肢a）はPKI（公開鍵基盤）と組み合わせた電子証明書の格納媒体として、政府機関や金融業界で広く使われている。マイナンバーカードもICカード型で電子証明書を内蔵する。生体認証（選択肢c）は近年スマートフォンへの搭載が進み、FaceID・指紋認証がWebAuthnプロトコルを介してパスワード認証の代替になりつつある。特にFIDO2（パスキー）は生体認証器で秘密鍵を保護する設計で、フィッシングに対して耐性がある。SMSワンタイムパスワードは広く普及しているが、SIMスワップ攻撃（通信キャリアを騙してSIMを乗っ取る）のリスクから、セキュリティ強度の低い所持要素として扱われている。

試験での位置づけ

情報セキュリティ分野の最頻出テーマの一つで、ITパスポートではほぼ毎年出題される。「二段階認証」と「二要素認証」の概念の相違——段階の多さではなく要素の種別の違いが重要——を問う形式が定番中の定番だ。本問のように複数の認証手段を並べ、どれが二要素認証を成立させるかを選ぶ出題形式は、近年も出題トレンドが継続している。基本情報技術者・情報処理安全確保支援士では、生体認証の本人拒否率（FRR）と他人受入率（FAR）のトレードオフ関係、認証局（CA）の役割、チャレンジレスポンス認証の仕組みまで問われる。

選択肢の発展補足

選択肢b（秘密の質問）：これは知識要素だが、セキュリティ強度は通常のパスワードより低い場合が多い。出生地・母の旧姓・初めて飼ったペットの名前などはSNSから推測可能で、ソーシャルエンジニアリングの格好の標的となる。多くのセキュリティ専門家は秘密の質問の廃止を推奨しており、NISTのガイドラインでも「Knowledge-Based Authentication（知識ベース認証）」への依存を下げる方向が示されている。選択肢a（ICカード）と選択肢c（顔認証）の組み合わせ：問題文では「どちらか一方を追加」する設問だが、実際のセキュリティ強化では複数の認証要素を組み合わせる三要素認証も存在する。ATMや高セキュリティ施設ではカード（所持）＋暗証番号（知識）＋静脈（生体）の三要素を採用するケースもある。