「二要素認証」と「二段階認証」: どの企業がどの用語を使っているか

2019年末に、エンジニア向け情報共有サイトのQiitaに、「平成のうちにやめたかった『ITの7つの無意味な習慣』」という記事が投稿され、大きな話題を呼びました。

 

このQiita記事の中で、トラスト・ログインの公式ブログ記事「『二段階認証』の誤解を解く。『二要素認証』『多要素認証』と何が違うか」を引用頂き、多数のアクセスを頂きました。

当社作成記事については多くの肯定的なコメントを頂きましたが、その中には「大手ベンダーが2つの認証要素を使った認証を『二段階認証』といっているのだから、『二要素認証』を『二段階認証』と記載しても間違いない」といったコメントがありました。

ここで改めて、「二段階認証」「二要素認証」という語について確認してみるとともに、「2つの認証要素を使った認証についての表記を『二段階認証』とするベンダー、また『二要素認証』とするベンダー」についてリストアップしてみたいと思います。

なお、作成リストの目的は、特定のベンダーを名指しして非難するものではありません。正しい表記を使いましょう、という警鐘を鳴らすために作成したものです。

 

 

2つの認証要素を使った認証の表記は「二要素認証」が正しい

はじめに、世界の電子認証に関するガイドラインは事実上、アメリカ国立標準技術研究所（NIST）により定められています。具体的には、NIST 800-63というガイドライン（ならびその改訂版、以下NISTガイドラインと略）が用いられています。よって、セキュリティの研究者など一部の専門家を除き、「何が正しい」「何が正しくない」という議論は、このNISTガイドラインに基づいて行われるべきです。

・NISTガイドラインについてはこちらをご覧ください。
世界の電子認証基準が変わる：NIST SP800-63-3を読み解く

NISTガイドラインでは、認証の強度について「認証の段階」では説明されていません。重要なのは「知識要素」「所持要素」「生体要素」という認証要素を複数用いること、ならび特に強い強度の認証を求める場合は専用の物理デバイスを利用すること、と記載されています。これは、AAL1, AAL2, AAL3というレベルで表現され、数が多いほど強度が高くなります。

よって、「認証段階が二段階であること」を示した「二段階認証」という表記は、そもそも正しくないだけでなく誤解を招きます。大切なのは認証要素なのだから、「二要素認証」、または「多要素認証」と表記すべきです。

 

 

どの企業が「二段階認証」を使っているか調査

前項で、二要素を使った認証の表記は「二要素認証が正しい」とご紹介しました。では、どのベンダーが「二段階認証」を用いているか、どのベンダーが「二要素認証」を用いているかを見ていきましょう。

以下では、外資系ならび日本企業（IT企業、通信企業、オンラインサービス企業）をそれぞれ25社ずつピックアップして、その表記について確認していきます。なお、下記リストは2020年1月時点で当社が調査を行ったもので、その完全性に関しては保証致しかねますのでご理解ください。

 

外資系企業

No.	会社名・サービス名	日本語	英語
1	Google	2段階認証	Two-Step verification
2	Apple	2ファクタ認証	Two-factor authentication
3	Facebook	二段階認証	Two-factor authentication
4	Amazon (EC)	2段階認証	Two-Step Verification
5	Amazon (AWS)	多要素認証	Multi-Factor Authentication
6	Microsoft	2段階認証 多要素認証	Two-Step verification Multi-Factor Authentication
7	Oracle	MFA機能	Multi-Factor Authentication
8	Salesforce	2要素認証	Two-factor Authentication
9	Instagram	二段階認証	Two-factor authentication
10	Twitter	2要素認証	Two-factor authentication
11	Adobe	2段階認証	Two-step verification
12	SAP	2要素認証	Two-Factor Authentication
13	Intel	多要素認証	Multi-Factor Authentication
14	Cisco	二要素認証	Two-Factor Authentication
15	Symantec	2要素認証	Two Factor Authentication
16	IBM	2要素認証	Two-factor authentication
17	HPE	多要素認証	Multi-Factor Authentication
18	HP	多要素認証	Multi-Factor Authentication
19	DELL	2要素認証	Two-Factor Authentication
20	Lenovo	二要素認証 二段階認証	Two-Factor Authentication
21	VMware	2要素認証	Two-Factor Authentication
22	Dropbox	2段階認証	Two-step verification
23	Slack	2要素認証	Two-Factor Authentication
24	McAfee	二要素認証	Two-factor authentication
25	Evernote	2段階認証	Two-Step Verification

 

 

日本企業

No.	会社名・サービス名	日本語	英語
1	富士通	二要素認証 2段階認証	Two-Factor Authentication
2	日立	二要素認証	Two-Factor Authentication Multi-Factor Authentication
3	NEC	二要素認証	Two-factor authentication
4	NTTドコモ	2段階認証	Two-step verification
5	KDDI	2段階認証	Two-Factor Authentication
6	ソフトバンク	多要素認証	記載なし
7	楽天	2段階認証	Two-Factor Authentication
8	ソニー (PSN)	二段階認証	Two-Step Verification
9	Freee	二要素認証	記載なし
10	マネーフォワード	二段階認証	記載なし
11	Chatwork	二段階認証	Two-factor Authentication
12	BASE	2段階認証	記載なし
13	クラウドサイン	2段階認証	記載なし
14	ニフクラ	二段階認証	記載なし
15	Sansan (Eight)	2段階認証	記載なし
16	任天堂	2段階認証	Two-factor Authentication
17	DMM	2段階認証	記載なし
18	オービック	二要素認証 多要素認証	記載なし
19	クラウドワークス	二段階認証	記載なし
20	SmartHR	2段階認証	記載なし
21	トレンドマイクロ	二段階認証 二要素認証	Two-Factor Authentication Mulfi-Factor Authentication
22	サイボウズ	二段階認証	記載なし
23	IDCフロンティア	2段階認証	記載なし
24	さくらインターネット	2段階認証	記載なし
25	カオナビ	2段階認証	記載なし

 

 

調査結果

「2要素認証」についての用語についての調査で、（調査サンプルは多くないですが）以下の傾向が読み取れたかと思います。

• 外資系企業で、日本語で「二段階認証」を用いていたのは、25社中9社（うち2社は「多要素認証」「二要素認証」との併用）。割合は36%。
• 外資系企業で、英語で「Two-Step Verification (二段階認証)」を用いていたのは、25社中6社（うち1社は、Multi-Factor Authenticationとの併用）。割合は24%。
• 日本企業で、「二段階認証」を用いていたのは、25社中21社（うち2社は、二要素認証との併用）。割合は84%。
• 外資系企業と比べ、日本企業のほうが圧倒的に多く「二段階認証」という用語を使っている。
• 外資系企業の中には、英語では「Two-Factor Authentication（二要素認証）」となっているが、日本語に翻訳する際に「二要素認証」ではなく、「二段階認証」と表記している企業がある。

日本では、二要素認証（ならび略語の2FA）や、多要素認証（ならび略語のMFA）という用語は浸透しておらず、二段階認証という用語が多く用いられていることが分かりました。

現在、まだ多くのサイトで利用されている「二要素でない二段階認証（秘密の質問など）」がなくなれば、「二段階認証≒二要素認証」となりますが、それに至るまでは用語の混乱がまだ続きそうです。