多要素認証を要請する主なガイドライン

不正アクセスへの対策として、各業界のセキュリティガイドラインでは、システムへの入り口の認証を強化する「多要素認証」の適用範囲を拡大しています。多要素認証に関して記載のある、各業界の主なガイドラインは以下の通りです。

発行省庁	ガイドライン名称	多要素認証を要請する記述の要約
内閣官房 内閣サイバーセキュリティセンター	政府機関等の対策基準策定のためのガイドライン（令和５年度版）	インターネット等から直接クラウドサービスへアクセスを許可する場合は、多要素主体認証方式による主体認証を基本方針とする。クラウドサービスの管理コンソールに管理者がログインする場合は、多要素主体認証を利用する。ウェブコンテンツを更新する際の認証に多要素主体認証を設ける。リモートメンテナンスを行う主体の認証において多要素主体認証を用いる。情報システムの基盤を管理又は制御するソフトウェアを導入する端末などには、多要素主体認証を用いる。多要素主体認証の一つとして生体情報を利用する場合は、誤認や誤否の可能性があるという課題を考慮すること。リモートアクセスに対し多要素主体認証を行うこと。
デジタル庁	政府情報システムにおけるセキュリティ・バイ・デザインガイドライン	管理者アカウントによるアクセスには多要素認証等を用いる。
総務省	地方公共団体における 情報セキュリティポリシーに関する ガイドライン(令和 5年 3 月版)	マイナンバー利用事務系、支給以外の端末から庁内ネットワークに接続を行う可能性がある場合、クラウドサービスにアクセスする場合には多要素認証の対策を必要とする。
	テレワークセキュリティ ガイドライン第５版	システム・セキュリティ管理者が実施すべき対策に、社内システムやクラウドサービスへのアクセス時の利用者認証機能として、可能な限り多要素認証を強制する。
	クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版）	情報資産へのアクセス制御となりすまし対策として、高い機密性、完全性が求められるサービスでは、多要素認証を採用する。
	５G セキュリティガイドライン第１版	セキュリティ対策要件として、施設への物理的なアクセス許可は多要素認証によって本人認証を行う。
	スマートシティ セキュリティガイドライン（第 2.0 版）	特権を持つ利用者のシステムへのネットワーク経由でのログインに対して、 多要素認証を採⽤する。
文部科学省	教育情報セキュリティポリシーに関するガイドライン	校務情報等の重要な情報資産へ のアクセスについては、多要素認証を必須とする。 児童生徒における ID 及びパスワード等の管理において、本人確認を厳格に行う必要がある場合においては多要素認証を設定することが望ましい。 学習用ツールへのシングルサインオンは、必要に応じて多要素認証と組み合わせる。
厚生労働省	医療情報システムの安全管理に関するガイドライン第 6.0 版システム運用編	令和９年度時点で稼働していることが想定される医療情報システムを、今後、新規導入又は更新に際しては、二要素認証を採用するシステム の導入、又はこれに相当する対応を行う。
経済産業省	医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第 1.1 版	医療情報システムの利用者認証における考慮事項として、医療情報の機密性の高さや攻撃手法の高度化に鑑み、多要素認証を可能な限り早期に採用すべきであるとしている。
独立行政法人情報処理推進機構	組織における内部不正防止ガイドライン第５版	組織内外に分散する重要情報について、アクセス権限を細かく設定して保護し、端末のクライアント証明書認証や利用者の多要素認証などを導入すること。
産業サイバーセキュリティ研究会	工場システムにおける サイバー・フィジカル・セキュリティ対策 ガイドラインVer1.0	技術的対策のチェックリストに、工場システムのリモートメンテナンスなどを目的とした外部からのインターネットアクセスが可能な場合は、多要素認証の対策を行うこと。
一般社団法人 日本自動車工業会／一般社団法人 日本自動車部品工業会	自工会/部工会・サイバーセキュリティガイドライン2.1 版	要求事項と達成条件として、インターネットから利用できるシステムには 多要素認証を実装する。
各府省情報化統括責任者（CIO）連絡会議	行政手続におけるオンラインによる本人確認の手法に関するガイドライン	オンラインにおける本人確認の手法として、遠隔又は対面での身元確認では、マイナンバーカード若しくはこれによることができない場合、多要素認証による当人認証を実施。