二要素認証（2FA・2ファクタ認証）とは

二要素認証とは、ユーザー認証の際に「知識情報」「所有（所持）情報」「生体情報」の3つの「要素（情報）」のうち、種類の異なる2つを組み合わせて利用する認証方式を指します。

2つの異なる要素を用いる認証方法であることから、二要素認証は多要素認証（MFA）の方法の一部と考えられます。

IDとパスワードは同じ要素（知識情報）であり、万が一サイバー攻撃などを受けて情報が漏洩すると簡単に悪意のある第三者に認証を突破されてしまいます。一方、二要素認証は異なる2つの要素を組み合わせる（知識+所有、知識+生体、所有+生体）ため、1つの要素情報が漏洩しても、もう片方の要素によって防げる可能性が高まります。

二要素認証や多要素認証の利用が拡大している背景として近年の不正アクセスやなりすまし被害の多発が挙げられ、各業界で対策として認証プロセスを強化する流れが進んでいます。例えば経済産業省、金融庁などではクレジットカードの不正利用防止のため、カード発行会社や電子商取引（EC）サイト事業者が本人確認する際の高度な認証方法導入を義務づけています。このケースではID・パスワードなど（要素：知識）に、生体認証（要素：生体）やワンタイムパスワード（要素：所有　一定時間で切り替わるためスマートフォンなどの端末が必要）などを組み合わせてセキュリティ強度を高める方法が用いられています。それ以外にも複数の「要素」や「段階」を認証プロセスに組み込んで、本人認証が確実に行われる手順が導入されています。

（参考）
金融庁：「2005年度　JESAP　電子署名・認証フォーラム　金融取引の電子化と認証の問題」
日本経済新聞：「クレカ決済、本人認証機能の導入義務化　24年度末までに（2023年1月20日）」

二要素認証と二段階認証は、名称が似ていることから混同されることも多いようです。「二要素認証も2回認証を行うから、二段階認証と同じでは？」と考える人もいるかもしれません。たしかに、二要素認証は異なる2つの「要素」を用いて認証させるため、必然的に認証を「2回（2段階）」行うことになります。

ただし、日本では「二段階認証」と言う場合、一般的に「同じ種類の2つの要素」を使って認証を行う形式を指すことがほとんどのようです（例：ユーザーID+パスワードの組み合わせは、同じ要素である「知識情報」を2回用いている）。「二要素認証」と言う場合は、「異なる種類の2つの要素」をそれぞれ１つずつ使って認証を行うことを指すのが一般的です。

ここから、二要素認証は多要素認証の一部であり、「2回の手順を踏む」点のみ二段階認証と共通していると言えるでしょう。

なお、「2FA」は英語での2要素認証“two-factor authentication”の略称です。一方、日本語で「2ファクタ認証」と言う場合は、主にApple IDへの認証方法を指すことが一般的です。

二要素認証と二段階認証については定義がサービス提供者などによって異なるケースもあるため、「同じ要素を2つ使う認証方法か、異なる要素を2つ使う認証方法か」について、利用の際に確認することが大切です。