本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

用語辞典

二要素認証(2FA)とは — 2段階認証との違いと方式の強弱

二要素認証(2FA)は、パスワードだけでなく『別の種類の証明』を組み合わせて本人確認する仕組みです。よく混同される2段階認証との違い、SMS・認証アプリ(TOTP)・パスキーという方式ごとの強弱、そして『まず導入し、フィッシングに出せない方式へ寄せる』という当サイトの考え方を、攻撃手順を伏せて解説します。

公開日 2026-07-02 更新日 2026-07-02 5分で読める

「パスワードが漏れても、それだけでは入れない」——そのための仕組みが二要素認証(2FA)です。混同されがちな2段階認証との違いと、方式ごとの強弱を整理します(攻撃手順は載せません)。

「2要素」と「2段階」——何が違うのか

言葉が似ていて混同されますが、狙いを押さえると簡単です。認証の“要素”は次の3カテゴリに分かれます。

知識
知っている物:パスワード・PIN・秘密の質問
所持
持っている物:スマホ・認証アプリ・物理キー・SMSの届く番号
生体
本人そのもの:指紋・顔・虹彩

二要素認証(2FA)は、この異なるカテゴリを2種類混ぜます(例:パスワード=知識+スマホの認証アプリ=所持)。狙いは「1つが破られても、別カテゴリが残るので突破されない」こと。対して**2段階認証(2SV)**は「2回確認する」だけの意味で、両方が同じカテゴリでも成立してしまいます(パスワード+秘密の質問はどちらも知識=2段階だが2要素ではない)。だから本当に強くしたいなら、別カテゴリを混ぜることが肝心です。

方式の強弱:分かれ目は「フィッシングに出せるか」

2FAを入れても、方式によって強さは大きく変わります。決め手は「偽サイトにうっかり“証明”を渡してしまえるか」です。

強 ── パスキー / 物理キー(FIDO2)

署名がドメインに紐づく=偽サイトに原理的に出せない(フィッシング耐性)

中 ── 認証アプリ(TOTP)

SMSより強いが、コードを人が読む=偽サイトには渡せてしまう

弱 ── SMS / メールのコード

SIMスワップ・中継に弱い。それでもパスワードだけよりは強い

2FAの方式は『フィッシングに出せるか』で強さが決まる。上ほど強い。

弱い:SMS / メールのコード

  • コードを人が読んで打ち込む=偽サイトにそのまま渡せてしまう
  • SIMスワップ・中間者型フィッシング(AiTM)で中継・突破されうる
  • それでもパスワードだけよりは確実に強い(入れないよりずっと良い)

強い:パスキー / 物理キー(FIDO2)

  • 署名がサイトのドメインに紐づく=偽サイトには原理的に出せない
  • 中間者型フィッシングにも耐性(フィッシング耐性MFA)
  • 認証アプリ(TOTP)はその中間=SMSより強いが偽サイトには出せてしまう

当サイトの視点:まず入れる、そして『出せない方式』へ

2FAで最も多い失敗は「どれが最強か」を考えすぎて結局どれも入れないことです。優先順位ははっきりしています——まず全アカウントで何らかの2FAを有効化し、そのうえで王国の鍵(メール・ドメイン・決済)から順に、フィッシングに出せない方式(パスキー)へ引き上げる。当サイトは「注意力で偽サイトを見破る」ことを防御戦略に数えません。人の注意力ではなく、仕組みとして偽サイトに証明を出せない方式に寄せるのが本筋です。

次に読む

よくある質問

Q二要素認証と2段階認証は同じですか?
A

厳密には違います。二要素認証(2FA)は『知識(パスワード)』『所持(スマホ・鍵)』『生体(指紋・顔)』という異なる“要素”を2種類組み合わせるものです。一方2段階認証(2SV)は単に『2回確認する』という意味で、必ずしも別要素とは限りません(例:パスワード+秘密の質問は、どちらも“知識”なので2段階ではあっても2要素ではない)。実務では重なる部分が多いですが、狙いは『別カテゴリを混ぜて、1つ破られても突破されないようにする』ことです。

QSMSで受け取る2FAでも意味はありますか?
A

あります。パスワードだけよりは確実に強く、パスワード使い回しや漏洩による乗っ取りの多くを止められます。ただしSMSはSIMスワップや中間者型フィッシングで狙われやすく、方式としては最も弱い部類です。『無いよりずっと良いが、終点ではない』が正しい理解です。可能なら認証アプリ(TOTP)やパスキーへ移行してください。

Qどの方式を選べばいいですか?
A

原則は『フィッシングに出せない方式ほど強い』です。強い順に、パスキー/物理セキュリティキー(FIDO2)>認証アプリのコード(TOTP)>SMS/メール。特にメール・ドメイン・決済といった“王国の鍵”になるアカウントは、パスキーなどフィッシング耐性のある方式を優先しましょう。まずは全アカウントで何らかの2FAを有効化し、重要なものから順に強い方式へ引き上げるのが現実的です。