経済産業省が主導するセキュリティ対策評価制度(SCS評価制度)の具体的な要件が、2026年3月に公開されました。SCS評価制度は2026年度末からの開始が予定されており、対応に向けた検討を本格化させている組織も増えています。
引用:経済産業省ウェブサイト『「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました』(2026/4/17参照)
https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
一方で、「どの対策をどのレベルまで実施すればよいのか」「自組織の環境でどのように実現すべきか」といった具体的な対応に悩まれている方も多いのではないでしょうか。
本ブログでは、SCS評価制度の中でも特に重要な対策のひとつである多要素認証(MFA)に焦点を当て、求められている要件と、その実現に向けた考え方を整理します。
SCS評価制度とは
「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」は、組織の情報セキュリティ対策状況を“見える化”することを目的とした評価制度です。2024年7月からワーキンググループによる議論が開始され、サプライチェーン全体の安全性を高める枠組みとして注目を集めています。
引用:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度※1)の概要」(2026/4/17参照) https://www.meti.go.jp/press/2025/03/20260327001/20260327001-a.pdf
2026年3月には制度の具体的な方針が公表され、現在は星3および星4の評価基準が示されています。制度は2026年度末までに開始され、情報処理推進機構(IPA)による運営が予定されています。
引用:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」p.16
(2026/4/1参照)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/pdf/20260327_2.pdf
評価基準と認定方法については、星3では基礎的な対策水準を満たすことが求められ、自己評価に加えて専門家による確認を通じて認定されます。一方、星4ではより高度な対策水準が求められ、第三者機関による認証を前提とした評価となる予定です。
評価基準の中には、その準拠にあたって特定のソリューションの導入が必要となる項目も含まれます。一方で、多くは組織のセキュリティ運用体制やポリシー、運用フローの整備を求めるものであり、自組織の現状を踏まえた計画的な体制整備が重要となります。
SCS評価制度の全体像や背景については、別記事で詳しく解説しています。制度の全体像を把握したい方は、あわせてご参照ください。
SCS評価制度における多要素認証(MFA)の要求事項
本ブログのテーマである「多要素認証(MFA)」の要求事項について見ていきましょう。
現在のSCS評価制度の要求基準では、MFAに関する要求が複数の項目に分散して定義されています。主な該当項目は以下の通りです。
表1:SCS評価制度における多要素認証(MFA)に関連する評価基準まとめ
|
区分 |
評価基準No. |
|
★3 |
4-1-3-2 ~ 4-1-3-4 / 4-1-5-3 / 4-1-5-5 / 4-5-1-7 |
|
★4 |
4-1-3-5 / 4-4-1-4 ~ 4-4-1-6 / 4-4-3-2 |
※各項目の詳細については、公式資料をご参照ください。
これらの要求事項は、大きく以下の2つの側面に分けることができます。
-
運用体制やルール整備に関するもの
-
具体的な設定や対策ソリューションの導入による対策状況に関するもの
後者については、既存の対策だけでは要件を満たすことが難しいケースも想定されるため、もう少し具体的に見ていきます。
MFAの利用が求められるポイントを整理すると、以下の通りです。
表2:SCS評価制度における多要素認証(MFA)の要求ポイントと区分まとめ
|
ポイント |
区分 |
評価基準No. |
|
パスワード認証利用時* |
★3 |
4-1-5-3 |
|
デフォルトIDによる認証時* |
★4 |
4-1-4-5 |
|
重要な情報を扱うクラウドサービスへのアクセス時 |
★3 |
4-1-3-2 |
|
インターネット経由での社内ネットワーク接続時 |
★4 |
4-1-3-5 |
|
インターネット経由での社内システムへの管理者アクセス時 |
★4 |
4-1-3-5 |
|
インターネット経由での重要情報を扱う社内システムへのアクセス時 |
★4 |
4-1-3-5 |
|
インターネット経由でのログ保管システムへのアクセス時 |
★4 |
4-1-3-5 |
|
インターネット経由でのネットワーク機器への管理者アクセス時 |
★3 |
4-5-1-7 |
※回避策が示されており、MFAの導入が必須ではないケースもあります。
このように、SCS評価制度ではMFAの適用範囲が特定のシステムに限定されているわけではなく、アクセス経路や操作内容に応じて広範囲に求められている点が特徴です。
近年のガイドラインの傾向と同様に、MFAの適用範囲は拡大しており、SCS評価制度においてもより広い範囲での適用が求められていく流れが見て取れます。
対応の考え方:多要素認証(MFA)編
SCS評価制度におけるMFAの要求を満たす上で、まず整理すべきなのが「どの認証基盤で認証を行っているか」という点です。
現在の多くのシステムでは、大きく以下の2つのパターンに分けられます。
-
クラウド型のIdP / IDaaS(Entra ID、Okta、HENNGE など)
-
オンプレミスの認証基盤(Active Directory など)
クラウド型のIdP / IDaaSで認証を制御しているシステムについては、認証基盤側の機能としてMFAが提供されているため、比較的容易に対応可能です。
一方で、課題となるのがActive Directory(AD)認証です。近年はクラウド認証の活用も進んでいますが、クラウド認証のみで運用している組織は依然として多くありません。実態としては、AD認証を単独で利用しているケースが多く、さらにクラウド認証を組み合わせたハイブリッド構成も増えています。その結果、依然としてAD認証が認証基盤の中心的な役割を担っている状況です。
こうした現状の中で、AD認証は技術的な仕様上、標準的な認証プロトコル(Kerberos / NTLM)ではMFAの仕組みを持たないため、AD単体の機能だけでMFAを適用することができません。そのため、SCS評価制度の要求を満たすためには、専用のMFA対策ソリューションの導入が前提となります。
※AD認証に対するMFA適用ができない点に関しては、以下の記事で詳しく解説しています。
| 関連記事はこちら |
| AD認証(Active Directory)にMFAを適用する方法|Silverfortで実現 |
では、整理したMFAの要求ポイントに対して、どの領域でAD認証への対応が必要となるのかを見ていきます。
表3:多要素認証(MFA)の要求ポイントと認証基盤ごとの対応整理
|
ポイント |
認証区分 |
区分 |
評価基準No. |
|
パスワード認証利用時* |
AD/IdP |
★3 |
4-1-5-3 |
|
デフォルトIDによる認証時* |
AD/IdP |
★4 |
4-1-4-5 |
|
重要な情報を扱うクラウドサービスへのアクセス時 |
IdP |
★3 |
4-1-3-2 |
|
インターネット経由での社内ネットワーク接続時 |
AD/IdP |
★4 |
4-1-3-5 |
|
インターネット経由での社内システムへの管理者アクセス時 |
AD |
★4 |
4-1-3-5 |
|
インターネット経由での重要情報を扱う社内システムへのアクセス時 |
AD |
★4 |
4-1-3-5 |
|
インターネット経由でのログ保管システムへのアクセス時 |
AD |
★4 |
4-1-3-5 |
|
インターネット経由でのネットワーク機器への管理者アクセス時 |
AD |
★3 |
4-5-1-7 |
※回避策が示されており、MFAの導入が必須ではないケースもあります。
※IdPはクラウド型IdP / IDaaSによる認証を想定した記載です。
このように整理すると、SCS評価制度の要求に対応する上では、クラウドサービスだけでなく、社内システムやネットワーク機器など、ADを利用した認証に対する対応が広範囲に必要となることが分かります。
つまり、SCS評価制度への準拠を目指す上では、AD認証に対してMFAを適用するための対策が不可欠となるケースが多いと言えるでしょう。
実現方法:多要素認証(MFA)編
それでは、SCS評価制度の要求基準に準拠するために、課題であるAD認証に対してMFAをどのように適用すればよいのでしょうか。
この課題に対応するためには、専用のMFA対策ソリューションの活用が現実的なアプローチとなります。
世の中には数多くのMFA対策ソリューションが存在します。しかし、その多くは既存の業務システムの改修が必要であったり、適用できる範囲が限定されていたりと、すべてのAD認証に対して一貫してMFAを適用することが難しいという課題があります。また、認証基盤や業務システムへの設定変更・改修が必要となるため、導入に時間がかかるケースも少なくありません。
こうした課題に対して、弊社では統合アイデンティティセキュリティプラットホームの「Silverfort」をご提案しています。
Silverfortは独自の技術により、ADと連携し、既存の認証フローを変更することなく、あらゆるAD認証に対してMFAを適用することが可能です。
既存の認証基盤や業務システムへの構成変更を行うことなく、短期間での導入とMFA適用を実現できる点が特長です。
これにより、SCS評価制度で求められているような、社内システムやネットワーク機器を含む広範なAD認証に対しても、現実的な形で多要素認証の適用を進めることができます。
まとめ
SCS評価制度の開始に向けて、各組織での対応検討は今後さらに進んでいくことが想定されます。一方で、今回ご紹介したような対策は短期間で実現できるものではなく、特に認証基盤に関わる領域は計画的な準備が重要となります。
また、MFAはSCS評価制度への対応という観点に限らず、サイバー攻撃対策としても非常に重要な要素です。そのため、制度対応とあわせて、今から早めに取り組みを進めていくことをおすすめします。
本ブログでご紹介したSilverfortによるAD認証へのMFA適用について、より具体的な実現方法や活用イメージを知りたい方は、以下の資料もぜひご覧ください。
また、弊社ではSCS評価制度への準拠に向けたアセスメントサービス(NVC Essentialサービス)も提供しています。自組織でどこまで対応できているのか、どのように進めるべきかを整理したい場合は、お気軽にご相談ください。
