あやふやだった「2段階認証」と「2要素認証」の違いを調べてみた：半径300メートルのIT

「2段階認証」と「2要素認証」という言葉はしばしば混同して使われるようですが、厳密にはこれらは違う意味です。では何が違うのでしょうか。セキュリティ認識を周囲とそろえるためにも言葉の定義はしっかり学んでおきましょう。

[宮田健，ITmedia]

　今回は筆者の個人的な“思い違い”を正したいと思います。この連載で何度も取り上げている、パスワード漏えい前提の世界における対策のひとつ「2要素認証」について、過去の回では「2段階認証」という言葉も混在して使っていました。

　この2つは厳密には異なるものだということは理解しつつも、多くのサービスでは「2段階認証」という名称を使うことが多いため、分かりやすさを優先して「2段階認証」と記載していたと思います。

　こうした経緯もあり、先日筆者は「多くのサービスにおいて2段階認証は2要素認証の要件を満たしているので、あまりこの2つの違いはないのではないか」とSNSに投稿したところ、セキュリティ識者の方々からその違いについて、情報をいただくことができました。その結果、筆者の認識が間違っていたことが分かったので、情報をいただいた以上それをまとめるのが自分の責務と思いまして、今回のトピックにしたいと思います。

そもそも2要素認証の「要素」とは何を指すのか？

　まずは2要素認証の“要素”についてもう一度おさらいしてみましょう。ここでいう要素とは下記を指します。