不正アクセスへの対策として、各業界のセキュリティガイドラインでは、システムへの入り口の認証を強化する「多要素認証」の適用範囲を拡大しています。多要素認証に関して記載のある、各業界の主なガイドラインは以下の通りです。
2026年2月6日更新
スクロールできます
| 発行機関 | ガイドライン名称 | 多要素認証を要請する記述の要約 |
|---|---|---|
| 内閣官房 国家サイバー統括室(旧 内閣サイバーセキュリティセンター) | 政府機関等の対策基準策定のためのガイドライン(令和7年度版) (2025年9月5日) | インターネット等からクラウドサービスへ直接アクセスする場合は、多要素主体認証を原則とする。管理コンソールへの管理者ログイン、ウェブコンテンツの更新、リモートアクセスやリモートメンテナンス、情報システム基盤を管理・制御する端末等の認証には、多要素主体認証を用いる。生体情報を利用する場合は、誤認・誤否の可能性に留意する。 |
| 金融庁 | 金融分野におけるサイバーセキュリティに関するガイドライン (2024年10月4日) | システムや情報の重要度に応じて、認証要件(多要素認証、リスクベース認証など認証時におけるリスク低減策等)を決定すること。特に重要なシステムへのリモートアクセスには、多要素認証を使用すること。 |
| デジタル庁 | 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン (2024年1月31日) | 管理者アカウントによるアクセスには多要素認証等を用いる。 |
| 行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン (2025年9月30日) | 当人認証保証レベルは影響度に応じて1〜3を定義し、レベル2・3では多要素認証を必須とする。レベル3は公開鍵認証を含むフィッシング耐性のある認証手法を全利用者に求め、レベル2相当の脅威耐性も満たす。レベル2は希望者が同手法を選択できるようにし、暗号鍵の不正取り出し・複製への耐性など、レベル1の要件も含めて確保する。 | |
| 総務省 | 地方公共団体における情報セキュリティポリシーに関するガイドライン(令和7年3月版) (2025年3月28日) | マイナンバー利用事務系では、多要素認証を設定しなければならない。外部からの庁内ネットワークへのリモートアクセスでは多要素認証を設定することが望ましい。クラウドサービス利用時の重要な認証プロセスにおいては多要素認証を必須とする。 |
| テレワークセキュリティ ガイドライン第5版 (2021年5月) | システム・セキュリティ管理者が実施すべき対策に、社内システムやクラウドサービスへのアクセス時の利用者認証機能として、可能な限り多要素認証を強制する。 | |
| クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版) (2021年9月) | 情報資産へのアクセス制御となりすまし対策として、高い機密性、完全性が求められるサービスでは、多要素認証を採用する。 | |
| 5G セキュリティガイドライン第1版 (2022 年4月22日) | セキュリティ対策要件として、施設への物理的なアクセス許可は多要素認証によって本人認証を行う。 | |
| スマートシティ セキュリティガイドライン(第 3.0 版) (2024年6月) | 特権を持つ利用者のシステムへのネットワーク経由でのログインに対して、 多要素認証を採⽤する。 | |
| 文部科学省 | 教育情報セキュリティポリシーに関するガイドライン (2025年3月) | パブリッククラウド上で重要な情報を取り扱う際には、多要素認証を含む強固なアクセス制御による対策を講じなければならない。ただし、児童生徒またはその保護者が重要な情報資産にアクセスする場合は、本人確認を厳格に行う前提でID及びパスワードでの認証を許容する。 共有IDを利用する場合には多要素認証と組み合わせる。 シングルサインオンに利用するID及びパスワードは漏洩した際の影響範囲が大きいため、必要に応じて多要素認証と組み合わせる。 特にデータの秘匿性や完全性の確保が相応に求められる場合においては、児童生徒のID及びパスワードに加え、多要素認証を設定し、本人確認を厳格に行うことが有効である。 |
| 厚生労働省 | 医療情報システムの安全管理に関するガイドライン第 6.0 版システム運用編 (2023年5月) | 令和9年度時点で稼働していることが想定される医療情報システムを、今後、新規導入又は更新に際しては、二要素認証を採用するシステム の導入、又はこれに相当する対応を行う。 |
| 経済産業省 | 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第 1.1 版 (2023年7月) | 医療情報システムの利用者認証における考慮事項として、医療情報の機密性の高さや攻撃手法の高度化に鑑み、多要素認証を可能な限り早期に採用すべきであるとしている。 |
| 独立行政法人情報処理推進機構 | 組織における内部不正防止ガイドライン第5版 (2022年4月) | 組織内外に分散する重要情報について、アクセス権限を細かく設定して保護し、端末のクライアント証明書認証や利用者の多要素認証などを導入すること。 |
| 産業サイバーセキュリティ研究会 | 工場システムにおける サイバー・フィジカル・セキュリティ対策 ガイドラインVer1.1 (2025年4月11日) | 技術的対策のチェックリストに、工場システムのリモートメンテナンスなどを目的とした外部からのインターネットアクセスが可能な場合は、多要素認証の対策を行うこと。 |
| 一般社団法人 日本自動車工業会/一般社団法人 日本自動車部品工業会 | 自工会/部工会・サイバーセキュリティガイドライン2.3 版 (2025年9月1日) | 情報システムおよび情報機器に対する認証・認可の要求事項において、インターネットから利用できるシステムには多要素認証を実装していることが達成条件とされている。 |
| 一般社団法人日本建設業連合会 | 建設現場ネットワークガイドライン (2024年12月) | クラウドサービス利用時の情報漏洩対策として、個人アカウントには2段階認証ないし多要素認証の利用を求める。管理者IDについてはIPアドレス制限や端末制限を推奨し、不可の場合は多要素認証の利用を求める。 |
こちらもおすすめ:
各業界ガイドラインが要請する多要素認証(MFA)導入成功の方法を解説
多要素認証(MFA)とは~種類や仕組み、それぞれのメリットを詳しく解説~
Microsoft 365に多要素認証(MFA)を設定してセキュリティを強化しよう
