認証の三要素とは

「認証の三要素」とは、インターネット上のシステムやサービスなどにログインする認証を行う際に必要な、知識情報・所持（所有）情報・生体情報を指す。認証に使う要素が2つ以上のものを多要素認証（二要素認証）と呼ぶ。単一の認証や二段階認証と比べ、セキュリティレベルが高くなり安全性が増すこと、企業や組織のコンプライアンス遵守に対応する条件でもあるため、導入がすすめられている。

認証の3要素とは｜概要

多要素認証では「知識情報」「所有（所持）情報」「生体情報」の3つの「要素（情報）」のうち、2つ以上を利用します。それぞれの要素について具体例を挙げて説明します。

（1）知識情報

【知識情報の例】

ID、アカウント名とパスワード
キャッシュカードなどの暗証番号
秘密の質問の答え
スマートフォンのロック画面解除のパスコード　ほか

知識情報とは、認証される本人だけが知っている（記憶している）情報を指します。コストもかからず手軽に利用しやすいことから多くの企業やサービスで利用されています。

ただし本人「だけ」とされているものの、実際は本人以外の第三者に漏洩した時点で、誰でも扱える情報になってしまいます。また記憶しなければならないため、覚えやすい数字や文字の並びにしがちなこと、同じパスワードを複数の媒体で使い回してしまう人が多く、人為的なミスも起きやすいリスクの高い認証情報といえます。

なお、知識情報だけを2段階に分けて認証する方法を二段階認証といいます。一段階だけのものよりはセキュリティは強くなりますが、2つとも知識情報のため認証突破されやすく、多要素認証（MFA）への移行が推奨されています。

（参考）
内閣官房内閣サイバーセキュリティセンター：政府機関等の対策基準策定のためのガイドライン（令和５年度版）
デジタル庁：政府情報システムにおけるセキュリティ・バイ・デザインガイドライン
総務省：地方公共団体における情報セキュリティポリシーに関するガイドライン(令和5年3月版)
総務省：クラウドサービス提供における情報セキュリティ対策ガイドライン（第３版）

（2）所持（所有）情報

【所持情報の例】

ICチップ搭載のカード類
マイナンバーカード
スマートフォンなど端末によるアプリ認証、SMS認証
ワンタイムパスワード　ほか

所持情報とはその名のとおり、ユーザーの「所持」しているものを利用した認証情報です。クレジットカードや端末にインストールした会員証などがこれにあたります。ユーザーが所持していれば認証でき、ほかに代替できないのでセキュリティレベルはある程度高いといえます。ただしそのもの自体を紛失してしまうと第三者に情報を盗まれてしまいます。また、例えばスマートフォンのアプリ認証で職場のパソコンにログインする場合、家にスマートフォンを忘れてくるとログインできません。このように「手元になければ認証できない」デメリットがあります。

（3）生体情報

【生体情報の例】

顔認証
指紋認証
声紋認証
虹彩認証
静脈認証　ほか

生体認証とは、ユーザー本人の身体がもつ、固有の情報を使った認証方法です。例えば顔認証や指紋認証は、すでにスマートフォンにも実装されており、利用している人も多いのではないでしょうか。

身体情報はその人固有のものであり、複製やなりすましが非常に難しくなっています。近年のカメラやAIは優秀で、顔認証の能力は非常に精緻です。また指紋や声紋、虹彩などはそもそも複製自体が非常に難しいとされています。生体情報は知識情報のようにうっかり忘却してしまうこともなく、所持情報のように持ち歩くのを忘れたり失くしたりするおそれもないため、3つの要素の中では最も安全性の高い認証情報といえます。

ただし、生体情報の利用には専用の機器の導入が必要になるため、コストがかかります。また認証機器によっては性能が高くないものもあり、導入前に慎重に調べる必要があります。さらに、ユーザー本人が眠っているなど意識がない状態で悪意の第三者に利用されてしまうおそれもあり、絶対安全というわけではありません。

以上、3つのうち2つ以上の要素を組み合わせて行われる認証を「多要素認証（2つの場合は二要素認証）」と呼びます。