📖基礎用語集 🔰賢い選び方 💰金利の仕組み 🛡️ランク制度 自動化機能 📈銀証連携 🔒セキュリティ 👜口座使い分け
ホーム > ネット銀行 > 二段階認証とは
ネット銀行用語解説

二段階認証とは?二要素認証との違い・認証の3要素・SMS認証からFIDO2/パスキーまでを図解で解説

ヒナコ

ヒナコ

ネット銀行のセキュリティ設定で「二段階認証を有効にしてください」と表示されましたが、二段階認証って何ですか?パスワードだけではダメなんですか?

トシ

トシ

パスワードだけの認証は「鍵が1つしかないドア」と同じだ。その鍵が盗まれたら終わり。二段階認証は「2つの鍵」を使うことで、1つが盗まれてもドアが開かない仕組みだ

ヒナコ

ヒナコ

2つの鍵…。具体的にはどういう組み合わせですか?

トシ

トシ

典型的な組み合わせは「パスワード(知っている情報)」+「ワンタイムパスワード(持っている端末で生成)」だ。ただし「二段階認証」と「二要素認証」は似ているようで別の概念だ。パスワード+秘密の質問は「二段階」だが、どちらも「知識」という同じ要素なので「二要素」ではない。真に安全なのは「異なる要素の組み合わせ」=二要素認証だ。この違いを理解することがセキュリティの第一歩になる

二段階認証とは──2つのステップで本人確認を行う仕組み

二段階認証(2-Step Verification / 2SA)とは、ログインや取引の際に「2つのステップ」で本人確認を行うセキュリティ方式だ。1つ目のステップで突破されても、2つ目のステップが防御壁として機能する。

第1ステップではID(ログインID・メールアドレス等)とパスワードを入力する。これは従来のログイン方法と同じだ。第2ステップでは、追加の認証手段──ワンタイムパスワード(OTP)、生体認証、秘密の質問など──を入力する。2つのステップの両方を突破しなければログインや取引が完了しない。

パスワードだけの「一段階認証」と比べて、不正アクセスのリスクを大幅に低減できる。パスワードが漏洩しても、第2ステップの認証手段を持たない攻撃者はアカウントに侵入できない。

ネット銀行では、ログイン時に加えて振込や限度額変更などの重要操作時に二段階認証が求められるのが一般的だ。振込時のみOTPを要求する銀行もあれば、ログイン時点で二段階認証を必須としている銀行もある。

ここで重要な注意点がある。二段階認証は「ステップの数(2回に分けて認証する)」を指す用語であり、「要素の種類(異なる種類の情報を組み合わせる)」を指す「二要素認証」とは異なる概念だ。この違いを正確に理解することが、セキュリティの本質を掴む鍵になる。次の§2で詳しく解説する。

一段階認証と二段階認証の比較 一段階認証(従来) ID+パスワード (知識) ログイン完了 鍵1つだけ 盗まれたら終わり 二段階認証(2SA) STEP 1 ID+パスワード (知識) STEP 2 追加認証 (OTP・生体等) ログイン完了 鍵2つ → 安全性UP ◎

「二段階認証」と「二要素認証」の違い──混同しやすい2つの概念

二段階認証(2-Step Verification)

認証を「2つのステップ」に分けて行う方式だ。ポイントは「ステップの数」に着目した概念であるということ。2つのステップが同じ種類の要素であっても「二段階認証」と呼ぶ。

たとえば「パスワード+秘密の質問」の組み合わせは、どちらも「本人が知っている情報(知識)」だが、2つのステップに分かれているため二段階認証に該当する。ステップの数が2つあれば、要素の種類が同じでも二段階認証だ。

二要素認証(2FA / MFA)

認証に「2つ以上の異なる要素の種類」を組み合わせる方式だ。Two-Factor Authentication(2FA)またはMulti-Factor Authentication(MFA)とも呼ばれる。ポイントは「要素の種類」に着目した概念であるということ。

「パスワード(知識)+ OTP(所持)」は異なる2つの要素を使うため二要素認証に該当する。一方で「パスワード(知識)+ 秘密の質問(知識)」は要素の種類が同じなので二要素認証には該当しない。二段階ではあるが、二要素ではない。

どちらがより安全か

二要素認証のほうが安全だ。同じ「知識」要素を2つ使っても、パスワードが漏洩したデータベースに秘密の質問の答えも含まれている可能性がある。つまり、1つの攻撃手法で両方のステップが同時に突破されるリスクがある。

異なる種類の要素を組み合わせることで、1つの要素が突破されても他の要素で防御できる。パスワード(知識)が漏洩しても、スマホ(所持)を物理的に持っていなければOTPを生成できない。攻撃者は「知識を盗む手口」と「物を盗む手口」の両方を同時に成功させる必要があり、攻撃の難易度が格段に上がる。

なお、ネット銀行の設定画面で「二段階認証」と表記されている場合でも、実際には「パスワード+OTP」の二要素認証であることが多い。名称だけで判断せず、どの要素の組み合わせが使われているかを確認することが重要だ。

二段階認証と二要素認証の違い パターンA:二段階だが「一要素」 パスワード 【知識】 秘密の質問 【知識】 同じ要素×2 = △ 二段階認証 ○ 二要素認証 ✕ パターンB:二段階かつ「二要素」 パスワード 【知識】 OTP 【所持】 異なる要素 = ◎ 二段階認証 ○ 二要素認証 ◎

認証の3要素──知識・所持・生体

要素①:知識(Something You Know)

本人だけが知っている情報で認証する方式だ。パスワード、PINコード、秘密の質問の答えなどが該当する。最も広く使われている認証要素だが、フィッシング詐欺やデータ漏洩で盗まれやすいという弱点がある。知識要素だけに頼った認証は、現代のサイバー攻撃に対して十分な防御力を持たない。

要素②:所持(Something You Have)

本人だけが持っている物理的なもので認証する方式だ。スマートフォン(OTP生成アプリ)、ハードウェアトークン、ICカードなどが該当する。攻撃者がパスワードを盗んだとしても、物理的なデバイスを持っていなければ認証を突破できない。端末の紛失・盗難がリスクとなるため、紛失時の対処手順を事前に確認しておくことが重要だ。OTPの仕組みと生成方法の詳細はワンタイムパスワード解説ページで解説している。

要素③:生体(Something You Are)

本人の身体的特徴で認証する方式だ。指紋認証、顔認証、虹彩認証、声紋認証などが該当する。身体的特徴は「忘れる」ことも「なくす」こともないため、利便性が高い。高精度な3Dプリント等による偽造は理論上可能だが、現実的にはコストと技術的ハードルが極めて高い。3つの要素の中で最もフィッシング耐性が高い。

安全な認証=異なる要素の組み合わせ

知識+所持(パスワード+OTP)は一般的な二要素認証の組み合わせだ。知識+生体(パスワード+指紋認証)は高セキュリティ。所持+生体(スマホ+顔認証)はパスワードが不要となり、フィッシング耐性が最も高い組み合わせとなる。異なる要素を掛け合わせるほど、攻撃者が全要素を同時に突破する難易度が指数関数的に上がる。

認証の3要素 ①知識(Know) パスワード PINコード 秘密の質問 フィッシングに弱い 漏洩・推測のリスク ②所持(Have) スマートフォン ハードウェアトークン ICカード 物理的に盗む必要 紛失・盗難リスク ③生体(Are) 指紋認証 顔認証 虹彩・声紋認証 偽造が極めて困難 フィッシング耐性◎ 異なる要素の組み合わせ = 二要素認証(安全性UP) 知識+所持 パスワード+OTP 知識+生体 パスワード+指紋 所持+生体 最もフィッシング耐性が高い

ネット銀行で使われる認証方式の比較

ネット銀行が採用する認証方式は複数あり、それぞれ安全性と利便性が異なる。以下の表では、主要な認証方式を安全性の低い順から高い順に並べている。

認証方式 要素の種類 セキュリティ強度 フィッシング耐性 利便性
パスワードのみ 知識 ★☆☆☆☆
パスワード+秘密の質問 知識+知識 ★★☆☆☆
パスワード+SMS OTP 知識+所持 ★★★☆☆
パスワード+アプリOTP 知識+所持 ★★★★☆
パスワード+生体認証 知識+生体 ★★★★☆
FIDO2/パスキー 所持+生体 ★★★★★

上から下に向かって安全性が高くなる。SMS OTPはSIMスワップ詐欺で傍受されるリスクがあるため、同じ「所持」要素でもアプリOTPのほうが安全だ。OTPの方式別の安全性比較はワンタイムパスワード解説ページで詳しく解説している。

最上位のFIDO2/パスキーは「パスワードレス認証」とも呼ばれ、そもそもパスワードを使わない。パスワードが存在しないため、フィッシングで「盗まれるもの」自体がない。フィッシング耐性が最も高い認証方式であり、次の§5で仕組みを詳しく解説する。

銀行がどの認証方式を採用しているかは各行によって異なる。自分が利用している銀行の認証方式を確認し、より安全な方式が提供されている場合は積極的に切り替えるべきだ。

認証方式の安全性ランキング 安全性 LOW → HIGH パスワードのみ ★☆☆☆☆ +秘密の質問(知識+知識) ★★☆☆☆ +SMS OTP(知識+所持) ★★★☆☆ +アプリOTP(知識+所持) ★★★★☆ +生体認証(知識+生体) ★★★★☆ FIDO2/パスキー(所持+生体) ★★★★★ ← フィッシング耐性◎
ヒナコ

ヒナコ

FIDO2やパスキーという言葉を初めて聞きました。パスワードを使わない認証って、どういう仕組みですか?

トシ

トシ

FIDO2はスマホやPCに保存された「秘密鍵」と、サービス側に保存された「公開鍵」のペアで認証する仕組みだ。秘密鍵はデバイスの外に出ないため、フィッシングサイトに入力する「パスワード」がそもそも存在しない

ヒナコ

ヒナコ

パスワードがないから盗まれようがない…ということですか?

トシ

トシ

その通り。FIDO2/パスキーの最大の強みは「フィッシング耐性」だ。偽サイトに誘導されても、秘密鍵はデバイス内にあり、正規のドメインでしか認証が成立しない仕組みになっている。OTPはフィッシングサイトに入力させられるリスクがあるが、FIDO2ではそのリスク自体が構造的に排除されている。対応している銀行はまだ限られているが、今後の主流になる技術だ

FIDO2/パスキー──フィッシングに強い次世代認証

FIDO2とは

FIDO(Fast Identity Online)Allianceが策定したパスワードレス認証の国際標準規格だ。公開鍵暗号方式を使った認証で、デバイス内に「秘密鍵」、サービス側(銀行のサーバー)に「公開鍵」を保存する。

認証時にはデバイスの生体認証(指紋・顔)またはPINで秘密鍵を解錠し、サーバーに「署名」を送る。サーバーは公開鍵を使って署名を検証し、本人であることを確認する。パスワードのように「文字列を送信する」ことがないため、フィッシングで盗まれる情報自体が存在しない。

パスキーとは

FIDO2の仕組みをより使いやすくした実装だ。Apple・Google・Microsoftが対応しており、主要なOS・ブラウザで利用できる。iCloudやGoogleアカウント経由で複数デバイス間で秘密鍵を同期できるため、デバイスの紛失時にも復元が容易だ。

従来のFIDO2では秘密鍵が1つのデバイスに固定されていたため、そのデバイスを紛失すると認証手段を失うリスクがあった。パスキーはこの課題を解消し、利便性と安全性を両立させている。

なぜフィッシングに強いのか

FIDO2の認証はドメイン(URL)に紐づいている。正規の銀行サイト(例:bank.example.com)で登録した秘密鍵は、偽サイト(例:bank-fake.com)では認証が成立しない。ブラウザが自動的にドメインを照合し、不一致であれば認証プロセス自体が起動しない。

従来のパスワード認証やOTP認証では、ユーザーが偽サイトに情報を「手動で入力」するため、ドメインの真偽をユーザー自身が判断する必要があった。FIDO2ではドメインの検証がシステム側で自動的に行われるため、人間の判断ミスが入り込む余地がない。これがFIDO2のフィッシング耐性の本質だ。

ネット銀行での対応状況

FIDO2/パスキーに対応しているネット銀行は増加傾向にあるが、全行が対応しているわけではない。対応状況は各銀行の公式サイトで確認すること。対応している場合は最優先で有効化すべきだ。現時点で対応していない銀行を利用している場合は、アプリOTP+生体認証の組み合わせが次善の選択肢となる。

FIDO2のフィッシング耐性の仕組み 従来:パスワード認証 ユーザー PW入力 →PW→ 偽サイト PW窃取! →PW→ 正規サイト 認証成立 偽サイトに入力 →PW盗まれる FIDO2/パスキー認証 ユーザー デバイス内で 秘密鍵で署名 偽サイト ドメイン不一致 → 認証不成立 →署名→ 正規サイト ドメイン一致 → 認証成立 PW不要=盗む ものがない

【プロの視点】「面倒くさい」がセキュリティを破壊する

二段階認証を有効にしない理由で最も多いのは「面倒くさい」だ。パスワード入力に加えてOTPを確認する手間を嫌い、設定を後回しにする。気持ちは分かるが、その数秒の手間を惜しんだ結果が数十万円〜数百万円の不正送金被害だ。

2023年のインターネットバンキングの不正送金被害額は約80億円に達した(警察庁・金融庁公表)。被害者の多くは「まさか自分が狙われるとは思わなかった」と語る。

セキュリティは「面倒くさい」のが正常だ。鍵をかけずに外出するのは楽だが、それを合理的とは言わない。二段階認証は「鍵をかける」行為の最低ラインだ。

設定にかかる時間は5分もかからない。その5分が、預金口座の全額を守る防御壁になる。まだ二段階認証を有効にしていないなら、この記事を閉じる前に銀行のセキュリティ設定画面を開くべきだ。OTPの仕組みについてはワンタイムパスワード解説ページで解説している。被害に遭った場合の法的保護については預金者保護法の解説ページで解説している。

次に読むべきページ

二段階認証の仕組みと認証方式の全体像を理解したら、次はセキュリティをさらに深掘りしていく。

まとめ

二段階認証とは2つのステップで本人確認を行う仕組みだ。「二要素認証」は異なる種類の要素(知識・所持・生体)を組み合わせる方式で、同じ要素を2つ使う二段階認証より安全性が高い。認証の3要素は「知識(パスワード)」「所持(スマホ)」「生体(指紋)」だ。

認証方式の安全性はSMS OTP < アプリOTP < 生体認証 < FIDO2/パスキーの順に高くなる。FIDO2はパスワードを使わない認証であり、偽サイトでは認証が成立しない構造のためフィッシング耐性が最も高い。

二段階認証の設定は5分もかからない。「面倒くさい」を理由に設定しないことのリスクは、不正送金被害(数十万〜数百万円)と釣り合わない。まだ設定していない場合は今すぐ有効にすべきだ。

よくある質問

二段階認証と二要素認証の違いは?

二段階認証は「認証ステップが2つ」であること。二要素認証は「異なる種類の要素(知識・所持・生体)を2つ以上使う」こと。パスワード+秘密の質問は二段階だが一要素(どちらも知識)。パスワード+OTPは二段階かつ二要素(知識+所持)。二要素認証のほうがより安全だ。

認証の3要素とは?

①知識(本人が知っている情報:パスワード・PIN)、②所持(本人が持っているもの:スマホ・トークン)、③生体(本人の身体的特徴:指紋・顔)。異なる要素を組み合わせるほど安全性が高まる。

FIDO2/パスキーとは何?

パスワードを使わない認証の国際標準規格だ。デバイス内に保存された「秘密鍵」で認証するため、パスワードのようにフィッシングで盗まれるリスクがない。認証はドメインに紐づいているため、偽サイトでは認証自体が機能しない。

SMS認証はなぜ安全性が低い?

SMSはSIMスワップ詐欺(攻撃者がSIMカードを乗っ取る手口)で傍受されるリスクがある。また個人情報を使ってSIMの再発行を不正に行うケースも報告されている。可能であればSMS認証からアプリ認証やFIDO2に切り替えるべきだ。

二段階認証を設定するには?

ネット銀行のセキュリティ設定画面から有効にできる。具体的な手順は銀行によって異なるため、各行の公式サイトのセキュリティ設定ガイドを参照すること。一般的にはログイン後に「セキュリティ設定」→「二段階認証」→「有効化」の流れで設定できる。

出典・参考情報

リスクに関する重要事項:二段階認証はセキュリティを大幅に向上させるが、すべての攻撃を防げるわけではない。認証方式の対応状況は銀行によって異なる。最新のセキュリティ機能は各金融機関の公式サイトで確認すること。不正送金の被害に遭った場合は、直ちに銀行と警察に届け出ること。

🛠 ネット銀行便利ツール

あわせて読みたい

関連ランキング ネット銀行おすすめランキング 関連ガイド ワンタイムパスワードとは?仕組みとセキュリティ強度 おすすめ記事 預金者保護法とは?補償条件と被害時の対応手順