民間企業

SCS評価制度とID管理・認証・アクセス管理についてわかりやすく解説

経済産業省が2026年度末頃の制度開始を目指す「SCS評価制度」。その中でも、「アイデンティティ管理、認証、アクセス制御」に関する項目は重要で、ID管理や認証のための環境づくりがこれからの★取得に大きく影響すると言えます。そこで本コラムでは、SCS評価制度において達成すべき項目をまとめた「★3・★4要求事項案及び評価基準案」について、ポイントや対策すべき内容を解説します。

もくじ
SCS評価制度におけるID管理の位置づけ…対策のポイント 「要求事項及び評価基準」の「4-1アイデンティティ管理、認証、アクセス制御」を解説 中分類「4-1」のチェックを確実に実施するには? ID管理に向けたアセスメントが効果的 まとめ

SCS評価制度におけるID管理の位置づけ…対策のポイント

サプライチェーンを狙うサイバー攻撃の脅威が増す中、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました。

  関連コラム: 『SCS評価制度とは? 業種別ガイドラインやISMS、NISTとの関係性を整理する』

本制度(SCS評価制度)は、セキュリティ対策の段階を「★」の数を用いて評価することで、発注者と受注者の双方が、適切なセキュリティ対策を行い、その対策状況を分かりやすく説明できるようにすることを目指しています。なお、それぞれの★のレベルを改めて整理すると次のようになります。

  • ★3:最低限実装すべき対策(専門家確認付き自己評価)
  • ★4:標準的に目指すべき対策(第三者評価)
  • ★5:到達点として目指すべき対策(第三者評価、基準等は今後具体化)

本制度の開始を見据え、「まずは★3、その後★4を目指す」「取引先要件では★4が必要になる」など、具体的な目標のもと、取り組みを進める企業は今後増加すると考えられます。この取り組みの際に参考となるのが、経済産業省が公開している「要求事項・評価基準」です。

※ 出典:経済産業省 
  『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針』  (2026年3月)
 P16 「3.4 制度で用いるセキュリティ要求事項・評価基準 3.4.1 要求事項・評価基準」

上図の資料冒頭には「NIST Cyber Security Framework(CSF)の機能に対応した6つの分類に、取引先管理に重点を置いた分類を加えた7つの分類において、それぞれレベルごと達成すべき対策を提案」と記載されていて、対策すべき分野が示されていることがわかります。

この中から、今回は「大分類:攻撃等の防御」の「不正アクセスに対する基礎的な防御」について見ていきましょう。

この項目では、主に「ID管理手続、アクセス権限の設定」「パスワードの安全な設定及び管理」「内外ネットワーク境界の分離・保護」について取り上げています。それぞれ正しく設定・管理しないと不正アクセスを招き、情報漏えいなどのインシデントにつながる恐れがあることから、重要な対策の一つと位置づけられます。

そこで次項から、経済産業省「★3・★4要求事項及び評価基準」から、中分類「4-1 アイデンティティ管理、認証、アクセス制御」について、対策のポイントなどを確認していきます。

※ 2025年12月26日版を指す。以降同様。

※ 出典:経済産業省 
  『★3・★4要求事項及び評価基準』  (Excelファイルがダウンロードされます)


「要求事項及び評価基準」の「4-1アイデンティティ管理、認証、アクセス制御」を解説

ここでは、「★3・★4要求事項及び評価基準案」の中分類「4-1 アイデンティティ管理、認証、アクセス制御」に焦点を当てて解説します。その中でも、ID管理・認証と認可管理に関する項目(4-1-1〜4-1-7)について、制度が求めるポイントを整理します。

要求事項案・評価基準 (2026/3/27時点)

大分類 中分類 要求事項No. 要求事項 認証 ID管理
認可管理		 特権
ID管理		 入退室
管理		 IT資産管理
4 攻撃等の防御 41 アイデンティティ管理、認証、アクセス制御 4-1-1 ユーザIDの発行・変更・削除の手続を定めること。 ★3
4-1-2 管理者IDの発行・変更・削除の手続を定めること。 ★3
4-1-3 システム及び情報の重要度に応じて認証の強度及び実装方法を決定すること。 ★3 / ★4 ★4
4-1-4 パソコン及びスマートデバイスにはロック制御を行うこと。 ★3 ★3
4-1-5 パスワード設定に関するルールを定め、周知すること。 ★3 ★3
4-1-6 パスワードの管理に関するルールを定め、周知すること。 ★3 ★3
4-1-7 アクセス権の管理ルールを定めること。 ★4 ★3/★4 ★3
4-1-8 サーバの設置エリアへの入退室を管理し、記録すること。 ★4
4-1-9 可搬媒体の持込み・持出しを制限すること。 ★4 ★4

【4-1-1】ユーザIDの管理手続 
ユーザIDの発行・変更・削除の手続を定めること。

評価基準No. 評価基準
★3 4-1-1-1
  • 自社の役員、従業員、派遣社員及び受入出向者に対するユーザIDの付与・変更・削除は申請・承認制にすること。
4-1-1-2
  • ユーザIDの共有について、以下のいずれかを適用すること
    • ユーザIDを共有しない。
    • やむを得ず共有IDが必要な場合(例えば、システムの仕様により、使用人数分のユーザIDを発行することができない場合)は、共有IDを利用したユーザを特定できるようにする。
4-1-1-3
  • ユーザIDが不要になった場合(例えば、ユーザが組織を退職した場合又はユーザIDが一定期間使用されなかった場合)、速やかにユーザIDを削除又は無効化すること。
4-1-1-4
  • ユーザIDに付与したアクセス権が不要になった場合(例えば、ユーザの業務上の役割が変わった場合)は、当該権限を速やかに削除又は無効化すること。

※ 出典:経済産業省 
  『★3・★4要求事項及び評価基準』  (Excelファイルがダウンロードされます)
 太字は引用者による強調点です。原文の表記ではありません。(以下同様)

求められること

4-1-1では、そもそも「IDが信用できなければ、認証もアクセス制御も始められない」ということが重要なポイントです。そのため★3では、ユーザIDの発行・変更・削除を正式な手順(プロセス)として確立し、確実に運用することが求められます。
イメージは「免許証の発行」に近く、本人確認や根拠にもとづいて発行され、変更や失効もルールに沿って運用できることが求められます。システム部門が独断でIDを作る・消すという運用ではなく、申請・承認を含む統制された発行手順に揃える必要があります。

対策のポイント

タイムリーにIDを運用するには、現実的には手作業では困難なことが多いと考えられます。ワークフローや人事マスタなどとの連携できるID管理システムを活用するなど、仕組みから改善することも一考でしょう。

【4-1-2】管理者IDの管理手続 
管理者IDの発行・変更・削除の手続を定めること。

評価基準No. 評価基準
★3 4-1-2-1
  • すべてのサーバ及びネットワーク機器について、システム管理者及び責任者を定めること。
4-1-2-2
  • 管理者権限を付与する役員、従業員、派遣社員及び受入出向者を限定したうえで、管理者IDについて以下のいずれかを適用すること。
    • 管理者IDを共有しない。
    • やむを得ず管理者IDの共有が必要な場合(例えば、システムの仕様により、使用人数分のIDを発行することができない場合)は、共有の管理者IDを利用したユーザを特定できるようにすること。
4-1-2-3
  • 各管理者IDに対して当該IDの用途に応じた必要最低限の権限のみを付与すること。
4-1-2-4
  • 開発環境を利用する役員、従業員、派遣社員及び受入出向者が本番環境において、開発環境における管理者権限で操作できないようにすること。
4-1-2-5
  • 組織内でどの役員、従業員、派遣社員及び受入出向者が管理者IDを持っているかを把握するための仕組みを整備すること。
4-1-2-6
  • 管理者IDが不要になった場合(例えば、管理者が組織を退職した場合及び管理者IDが一定期間使用されなかった場合)、速やかに管理者IDを削除又は無効化すること。
4-1-2-7
  • 管理者IDの付与・変更・削除は申請・承認制にすること。
4-1-2-8
  • 管理者IDの付与・変更・削除並びにサーバ及びネットワーク機器の設定内容の変更を行う権限を業務上必要な役員、従業員、派遣社員及び受入出向者に限定すること。
求められること

4-1-2は、管理者ID(特権ID)の管理に関する要求事項です。特権IDは影響範囲が大きく、運用が曖昧だとその被害も監査上のリスクも大きなものになります。重要なのは、特権IDを使う「人」を管理することです。
例えば、すべてのサーバ/ネットワーク機器についてシステム管理者と責任者を定めること、管理者IDを持つ対象(役員・従業員・派遣社員・受入出向者等)を限定し、管理者IDは原則共有しないことなどが求められています。

対策のポイント

特権IDを、「誰が」「いつ」「どんな根拠で使ったのか」を特定できる仕組みが必要です。特権IDを共有せざるを得ない組織でも、現実解としては「共有しても誰が使ったかを必ず特定できる仕組み」を設計し運用することが求められます。特権アクセス管理やID管理システム等の仕組みを活用しながら、運用面も含め管理できる体制を構築していくことが現実的です。

【4-1-3】認証の強度・実装方法の決定 
システム及び情報の重要度に応じて認証の強度及び実装方法を決定すること。

評価基準No. 評価基準
★3 4-1-3-1
  • すべてのユーザID及び管理者IDについて、システム及び情報機器へのアクセスを許可する前に、ユーザIDごとに設定されている認証情報(パスワード等)でユーザを認証すること。
4-1-3-2
  • 重要な機密情報を取り扱うクラウドサービスにおいて、ユーザ及び管理者がサービスにアクセスする場合は、常にNo.4-1-3-3で示す認証要素を利用した多要素認証を使用すること。
4-1-3-3
  • 多要素認証の使用に当たっては、以下のいずれかの要素から2種類以上を選択し、利用すること。
    • 知識情報(例:ID・パスワード)
    • 所有情報(例:ワンタイムパスワード※又は証明書)
    • 生体情報(例:指紋、顔、虹彩又は静脈)
    • その他の情報(例:IPアドレス)

※利用者のメールアドレス、電話番号等に対してワンタイムパスワードを送信して利用者に入力させる方法及びスマートフォンへの認証要求を利用した認証方式を含む。
4-1-3-4
  • 多要素認証の知識情報として用いるパスワードは、8文字以上とすること。
★4 4-1-3-5
  • 重要な機密情報を取り扱うシステムにおいて、No.4-1-3-2で対象としているクラウドサービスへのアクセスに加えて、以下に示す場合は、常にNo.4-1-3-3で示す認証要素を使用した多要素認証を使用すること。
    • インターネットを経由して社内環境へ接続する場合
    • 管理者がインターネット経由でシステムにアクセスする場合
    • ユーザがインターネット経由で重要な機密情報を取り扱うシステムにアクセスする場合
求められること

4-1-3は「システムや情報の重要度に応じて、認証の強度を決める」ことがポイントです。最低限、すべてのユーザIDについて、アプリケーションや情報機器へのアクセスを許可する前に、「一意の認証情報(ID+パスワード等)」で本人確認することが求められます。
重要な情報を取り扱うと考えられるクラウドサービスなどにアクセスする場合、ID+パスワードだけでは不十分であり、常に多要素認証を使うことが求められます。 (なお、★4では、重要情報を扱うシステムには管理者がインターネット経由でアクセスする場合なども含めて、常に多要素認証を求める考え方が示されています。)

対策のポイント

多要素認証を個別に設定するのではなく、全体方針として適用・運用できる状態にすることがポイントです。特にクラウドサービスが増えるほど運用が複雑化しやすくなります。そこで、SSOを中心に多要素認証を集約することで、運用負荷を抑えつつ統制を効かせやすくなります。

【4-1-4】アカウントロック制御 
パソコン及びスマートデバイスにはロック制御を行うこと。

評価基準No. 評価基準
★3 4-1-4-1
  • パソコンへのログオン及びスマートデバイスのロック解除にあたって、以下のいずれかを適用すること。
    • 試行回数を調整し、試行が失敗するたびに試行間隔が長くなるようにする。
    • 試行が少なくとも10回以上失敗すると端末をロックする。
    • 上記で示す要件のいずれも設定することができない場合、No.4-1-5で求められるよりも強度の高いパスワードを用いる等の代替策を用いること。
4-1-4-2
  • パソコンへのログオン及びスマートデバイスのロック解除を行う場合、最低でも6文字以上のパスワード又はPINを利用すること。
求められること

4-1-4は、パスワード推測や総当たり(ブルートフォース)などの攻撃を念頭においた対策に関する項目です。例えば、ログオン試行を「回数」で抑止することです。
なお、ここでの主対象は「端末ログオン」ですが、端末はSSOや各種クラウドサービスへ至る“入口”でもあります。端末侵入を防ぐことが、その先の重要システムへの不正アクセス防止につながります。

対策のポイント

MDMなどを活用して端末ポリシーを一元管理し設定することが考えられます。アカウントロック設定できない場合には、強いパスワードを設定する等の代替策や運用ルールも検討が必要です。

【4-1-5】パスワード設定ルール 
パスワード設定に関するルールを定め、周知すること。

評価基準No. 評価基準
★3 4-1-5-1
  • パソコン、サーバ、スマートデバイス及びクラウドサービスの利用者又は管理者は、それらにおけるデフォルトパスワードを変更するよう社内ルールを定めること。
4-1-5-2
  • ユーザ認証にパスワードを利用する場合、推測されやすい単語の設定を禁止するよう社内ルールを定めること。
4-1-5-3
  • ユーザ認証にパスワードを利用する場合、以下のいずれかの保護対策を講じるよう社内ルールを定めること。
    • No.4-1-3-3で示す認証要素を利用した多要素認証を使用するか、又は試行が少なくとも10回失敗した場合にアカウントロックするように制限したうえで、パスワードの長さを8文字以上とする。
    • 上記のとおり多要素認証又は試行回数の制限を実施できない場合、パスワードの長さは、英大文字小文字、数字を含めた10文字以上とする。
4-1-5-4
  • ユーザ認証にパスワードを利用する場合、情報機器及びサービス間でのパスワードを使い回さないよう社内ルールを定めること。
4-1-5-5
  • No.4-1-5-1からNo.4-1-5-4までで定めたパスワード設定に関するルールについて、役員、従業員、派遣社員及び受入出向者を対象に周知すること。
求められること

4-1-5は、パスワードの脆弱性につけこまれないようにするための項目です。初期設定の放置、推測されやすいパスワード、パスワードの使い回しといった危険性をなくすことで、認証の最低ラインを担保する必要があります。

対策のポイント

まず、パスワードポリシー(長さや複雑性、試行回数制限など)を定めることが必要です。そのうえで、パスワードマネージャーやSSOなどの仕組みを活用し、安全性と利便性を両立させることも有効です。

【4-1-6】パスワード管理ルール 
パスワードの管理に関するルールを定め、周知すること。

評価基準No. 評価基準
★3 4-1-6-1
  • 紙媒体への記載及び施錠保管、パスワード管理アプリの利用等により、パスワードを安全に保管するよう社内ルールを定めること。
4-1-6-2
  • パスワードの漏洩が判明した場合、又はその疑いがある場合に速やかにパスワードを変更するための手順を定めること。
4-1-6-3
  • No.4-1-6-1及びNo.4-1-6-2で定めたパスワードの管理に関するルールについて、役員、従業員、派遣社員及び受入出向者を対象に周知すること。
求められること

4-1-6は、パスワードの保管や取り扱いなど運用面におけるルールに関する項目です。ポイントは、パスワード管理が属人化して事故につながらないよう、組織として扱い方を揃えることです。また近年、パスワードの定期的な変更を強制しないことや、漏えいが疑われる場合は速やかに変更する手順を定めることなどが指摘されていますが、本評価項目にもこの考え方が反映されています。

対策のポイント

パスワード管理は「ルール」だけでなく、「仕組み」で支えることが現実的です。例えばパスワードマネージャーやパスワードレス(FIDO等)などの仕組みを活用することも効果的です。

【4-1-7】アクセス権の管理ルール 
アクセス権の管理ルールを定めること。

評価基準No. 評価基準
★3 4-1-7-1
  • 業務で利用するシステム及びパソコンへのログオン時のユーザのアクセス権並びに機密上の配慮が必要な場所及び部屋への入室について、以下の内容の管理ルールを定めること。
    • アクセス権の発行・変更・削除は申請・承認制であること。
    • 与える入室許可・アクセス権の範囲は必要な範囲に限定すること。
    • 入室権限及びアクセス権の棚卸について定めていること。
    • 与えた入室許可・アクセス権の申請書又は台帳を管理していること。
★4 4-1-7-2
  • 年1回以上の頻度で役員、従業員、派遣社員及び受入出向者に付与したアクセス権の棚卸を実施すること。
4-1-7-3
  • 重要な機密情報を扱うシステムは、アクセス権を付与するための条件を定めること。
4-1-7-4
  • 重要な機密情報を扱うシステムにおけるアクセス権の設定に当たっては、システム管理者の要件及び設定手順を定めること。
4-1-7-5
  • 重要な機密情報を扱うシステムは、ユーザ及び管理者ごとに必要最小限の権限を付与し、個人に権限が集中しない環境とすること。
4-1-7-6
  • 重要な機密情報を扱うシステムは、付与したアクセス権の運用/利用状況を監視する仕組みを整備すること。
求められること

4-1-7のうち、★3ではシステムや端末へのアクセス権の発行・変更・削除、その範囲や棚卸、入室許可などに関する管理ルールを定めることが記載されています。★4では、重要情報を扱うシステムへのアクセス権の管理ルールについて述べています。
アクセス権の管理にはID情報が不可欠であることから、本項目は、ID管理に関する評価基準としての意味合いも含まれています。

対策のポイント

まずは、アクセス権の申請・承認の仕組み(ワークフロー)と、人事マスタ等を起点にした権限付与・剥奪のルールを整備します。運用で漏れがないようにするには、ID管理システムなどの活用が必要になります。


中分類「4-1」のチェックを確実に実施するには? ID管理に向けたアセスメントが効果的

ここまで、SCS評価制度案の中分類「4-1 アイデンティティ管理、認証、アクセス制御」のうち4-1-1〜4-1-7について、「求められること」と「対策のポイント」を整理しました。まずは、自社の現状とSCS評価制度の要求事項とのギャップを把握し、適切に取り組むことが求められます。

しかし、「自社のID管理を棚卸ししたのはいつか」「誰がアクセス権を承認しているのか」など、数ある項目について自社がどこまでできているのか不明で、どこから手を付けたら良いのかわからないという企業も多いのではないでしょうか。そのような場合には、外部のアセスメントサービスを利用することで、自社の適合状況や改善案などを知り、次のステップにつなげられるようになります。アセスメントサービスを利用する際には、ぜひ、ID管理・認証・アクセス制御の分野で実績のある、信頼できるパートナーを選ぶことが重要です。

  関連サービス: ID管理簡易アセスメントサービス


まとめ

今回は、SCS評価制度の「★3・★4要求事項及び評価基準」における「4-1 アイデンティティ管理、認証、アクセス制御」のうち、4-1-1〜4-1-7の内容について解説しました。

ゼロトラスト時代と呼ばれる今日、ID管理や認証、アクセス制御の重要性はますます高まっています。SCS評価制度は2026年度末の開始に向けて、現時点では内容が確定していない部分もありますが、今回の内容を参考に対策を進めることで、自社のセキュリティ対策の強化にもつなげることができます。また、SCS評価制度への適合状況について、自社だけでは判断が難しい場合には下記のアセスメントサービス利用も検討してみてはいかがでしょうか。


関連サービス

ID管理簡易アセスメントサービス

このサービスでは、 SCS評価制度4-1「アイデンティティ管理・認証・アクセス制御の各評価基準」を踏まえて、現在の適合状況と改善案をレポートします。IDの付与・変更・削除を申請-承認制にすることは決して簡単なことではありません。課題解決には、システム化による自動化と併せて、企業・組織レベルでの運用の見直しが必要となります。IDアセスメントレポートでは、経営判断が必要な本質的な問題を「課題改善のIssue」として抜き出しレポートします。

詳細はこちら

関連オンデマンドセミナー

ID管理が企業の評価を左右する時代へ
セキュリティ対策評価制度のポイントと対策

「サプライチェーン強化に向けたセキュリティ対策評価制度」の背景や評価項目、ポイントを解説します。



関連オンデマンドセミナー

ID管理が企業の評価を左右する時代へ セキュリティ対策評価制度のポイントと対策

「サプライチェーン強化に向けたセキュリティ対策評価制度」の背景や評価項目、ポイントを解説します。

セミナーをみる

エクスジェン・ネットワークスのID管理製品・サービス
製品・サービスの特徴と比較
オンプレミスで複雑な
ID運用要件を
カバーする
パッケージソフトウェア
LDAP Manager®
クラウドでシンプルな
ID管理と
SSOを
実現する
国産IDaaS
Extic
不正PCの
検知・排除と可視化
L2Blocker
PC情報管理ソリューション
Survey Eyes
ソリューション
コラム
資料ダウンロード
セミナー・イベント
会社情報