サイバーセキュリティ 
経済産業省は、サプライチェーン全体の安全性を確保する
公開日: 2025年9月19日
セキュリティの質問は、通常、ウェブサイトやアプリでパスワードを復旧する際に、本人確認の予備の手段として使用されます。 母親の旧姓や子どもの頃に飼っていた最初のペットの名前などの個人情報などが質問項目となり、正しく答えれば本人であると確認されます。 ただし、質問の中にはネット上で回答を見つけることができたり、簡単に推測できたりするものもあるため、自分のみが回答できる質問を選ぶ、複雑であるか実際の質問と無関係な回答にする、複数のアカウントで同じ質問と回答を使い回さないといった適切なルールに従うことが重要となります。 セキュリティの質問にはこうした不安要素があるため、多要素認証 (MFA) での使用には適していません。他の選択肢がある場合は、パスキーやハードウェアのセキュリティキーなど、より安全な方法を選びましょう。
以下では、強力なセキュリティの質問の概要、適切なセキュリティの質問と回答の例、より強力な認証方法をご紹介します。
セキュリティの質問の種類
セキュリティの質問は、ユーザー定義とシステム定義の2タイプに大別されます。 ユーザー定義タイプを選ぶと独自の質問と回答を作成できるため、質問と回答が適切に選択されているという条件を満たせば、柔軟性と独自性が高くなります。 ただ、文言が適切でないか、単純すぎる場合は、アカウントの侵害リスクが高まります。
システム定義タイプのセキュリティの質問はサービスプロバイダーによって事前に選択されており、「母親の旧姓は?」や「最初の車のモデルは?」などが典型例として挙げられます。 設定は簡単なものの、他のユーザーがオンラインで見つけられる情報が使用されることが多いため、独創的または推測しにくい回答を使用しない限り、安全性は低くなります。
適切なセキュリティの質問とは
セキュリティの質問を作成または選択する際は、オンラインアカウントを安全に保つために特定の基準を満たす必要があります。 適切なセキュリティの質問には次のような特徴があります。
- 内密: 回答を知っているのはユーザーのみであり、オンラインやソーシャルメディアでは簡単に見つかりません。. 出身地やペットの名前など、自分の デジタルフットプリントを通じて見つかる情報が回答になるセキュリティの質問は避けてください。
- 覚えやすい: セキュリティの質問に対する回答は、書き留めたり調べたりしなくても簡単に思い出せるものにしましょう。 ただし、ユーザーのソーシャルメディアプロフィールを見るなどの方法で、他人がオンラインで見つけることができるものは避けます。
- 一貫性がある: いつまでも変化しない回答を選びましょう。 例えば、好きな映画は変わるかもしれませんが、両親が出会った街は変わりません。
- 具体的: 質問と回答は単純明快なものが望ましく、複雑な書式や複数のステップを記憶する必要があるものは不適当です。
- 推測不可能: 簡単に推測できるか、公開記録を通じてアクセスできるものは回答に向いていません。 好きな色や月など、ありきたりの回答になるセキュリティの質問は避けましょう。
セキュリティの質問と回答に関するベストプラクティス
どのタイプのセキュリティの質問を使用する場合でも、回答に関するベストプラクティスに従うと、アカウントのセキュリティを強化できます。 以下では、個人情報をより効果的に保護するための戦略をいくつかご紹介します。
アカウントごとにセキュリティの質問を変える
パスワードと同じく、同じセキュリティの質問と回答を複数のアカウントで使い回すと、セキュリティが脅かされます。 いずれかのアカウントが侵害された場合、漏洩した情報を使って他のアカウントにアクセスされるおそれがあります。 可能な限り、サービスごとに固有の質問と回答の組み合わせを使用しましょう。
自作の質問を避ける
ユーザー定義のセキュリティの質問は独自性が高まりますが、慎重に作成しないとセキュリティリスクの増大を招きます。 多くの場合、ユーザーが作成するセキュリティの質問は単純すぎるか、個人的すぎるか、簡単に推測できるものです。 セキュリティの質問を自作する場合は、他人に推測されにくく、オンラインで見つけることができないものにしましょう。
可能な場合はセキュリティの質問を複数選択する
セキュリティの質問を複数設定できるサービスでは、そのメリットを活用しましょう。 複数のセキュリティの質問を使用することで、保護層が厚くなるため、1つの回答のみを推測したり調べたりする場合より、アカウントにアクセスするハードルが上がります。
セキュリティの質問を定期的に更新する
アカウントのセキュリティを維持するには、セキュリティの質問を定期的に見直して、 更新した方がよいかどうか検討しましょう。特に、時間の経過に伴い回答が変わった場合や漏洩が疑われる場合は更新してください。
回答の最小の長さを設定する
回答が短いと、サイバー犯罪者に推測または解読されるリスクが高まります。 回答は長いか複雑な方が、推測しにくくなるため安全です。 回答の長さに最小値が定められていないサービスでは、10~12文字を目安に、自分で最小値を設定しましょう。
意図的に間違った回答や無関係な回答を選択する
回答を覚えているか安全に保存できる限り、セキュリティの質問に、自分だけが知っている、誤ったまたは無関係な回答を選ぶこともできます。 例えば、「初めて飼ったペットの名前は?」という質問に、本当の名前でない「ストロベリーミルクセーキ」という回答を選ぶといった具合です。 セキュリティの回答をさらに曖昧なものにすることで、サイバー犯罪者がアカウントにアクセスするのがより困難になります。
不適切なセキュリティの質問の例
セキュリティの質問は内容によって保護レベルが異なります。 下表は、不適切なセキュリティの質問の例とその理由をまとめたものです。
| Security question | Reason why it's a weak security question |
|---|---|
| What city were you born in? | Generally available to the public via social media or public records |
| What was your first car? | Often known by family and sometimes mentioned in online conversations |
| What is your favorite song? | Preferences change over time, so the answer might not be consistent or memorable |
| What is your astrological sign? | Easily guessed based on your birthday, which is often simple to find online |
適切なセキュリティの質問の例
適切なセキュリティの質問とは、推測しにくく、オンラインを調べても簡単には見つからないもので、自分だけが覚えやすいものです。 下表は、保護効果の高いセキュリティの質問とその理由をまとめたものです。
| Security question | Reason why it's a strong security question |
|---|---|
| In what city did your parents meet? | Personal but not commonly known or easily searchable |
| What was your eighth-grade math teacher's name? | Specific and memorable to you but unlikely to be found by others |
| What is the middle name of your oldest cousin? | An obscure family detail that is not generally shared online or outside your family |
| What was the first concert you went to? | Memorable and unique to your history, and difficult for others to guess |
セキュリティの質問に代わる認証方法
セキュリティの質問は、適切に選択して回答すれば効果的ですが、回答が簡単に推測できる場合を筆頭に、最も安全な認証形式とは言えません。 幸い、他の認証方法でより安全性の高いものがあります。 次の認証方法を選択可能なサービスでは、セキュリティの質問の代わりに、またはセキュリティの質問に加えて、いずれかの方法を使用することをお勧めします。
- ハードウェアセキュリティキー: ハードウェアセキュリティキーは安全な認証を可能にする、USBのような物理的デバイスです。 アカウント登録後、ログイン時にキーをタップまたは挿入して本人確認を行います。 フィッシング攻撃に強く、きわめて安全な認証方法です。
- パスキー: パスキーは、暗号鍵ペアを使用する、最新のパスワードレス認証方法です。 ログインすると、生体認証かPINでの本人確認を求められます。 パスワードやセキュリティの質問よりも安全性と使いやすさに優れています。
- 時間に基づく1度限りのパスワード (TOTP): TOTPはアルゴリズムを使用して、一時的なコードを生成する2要素認証 (2FA) 方式です。 TOTPは認証アプリを通じて配信され、30~60秒後に期限切れになります。 頻繁に変更されるうえ、送信がインターネット経由でないため、安全な認証形式です。
セキュリティの質問と回答を保存するならKeeper®に
セキュリティの質問はアカウント復旧に重要ですが、適切に使用・保管されない場合、重大なリスクを伴います。 そこでお勧めなのが、Keeper ®をはじめとするパスワードマネージャーの使用です。セキュリティの質問と回答が安全に保存されるため、記憶や保管方法に不備のあるメモに頼る必要がなくなります。 Keeperを使用すると、暗号化されたデジタルボルトですべてのログイン認証情報と機密データを簡単に管理して、オンラインアイデンティティをより安全かつ整理された状態に維持できます。
今すぐKeeperの無料トライアルを開始して、セキュリティの質問と回答の保存方法を改善しましょう。
よくある質問
What information can be used as a response to a security question?
セキュリティの質問への回答にはどのような情報でも使用できますが、内密で覚えやすく、他人がオンラインで見つけにくい情報を選ぶことをお勧めします。 ペットの名前や誕生日など、一般に見つけられる回答や簡単に推測可能な回答は避けましょう。 回答に使用可能な情報の例として、具体性に欠ける家族の情報、本人にとって大切な体験、本人しかわからないような完全に架空の事柄などが挙げられます。 実際、セキュリティの回答に無関係な情報を使用すると、Keeperなどのパスワードマネージャーに回答が安全に保存されている限り、セキュリティの向上につながることがあります。
When do I use a security question and answer?
セキュリティの質問と回答は通常、アカウントで機密性の高い操作を実行する必要がある場合に、本人確認を行うために使用されます。 よく使用される場面として、パスワードのリセット、連絡用メールアドレスの変更、アカウントの削除などが挙げられます。 一部のプラットフォームでは、普段と違うデバイスや場所からのログインなど、疑わしいアクティビティが検出されると、セキュリティの質問が表示される場合があります。
How can I protect my security question answers?
セキュリティの回答は、Keeperなどの専用のパスワードマネージャーに保存することで保護できます。 簡単に推測できる回答は避け、推測しにくく、実際の質問とは無関係なものも含めて、強力で独自性に優れた回答を作成しましょう。 Keeperなどのパスワードマネージャーでは、プラットフォームのログイン認証情報と一緒にセキュリティの回答が安全に保存されます。自分で回答を記憶する必要がなく、保管時の安全リスクもありません。
