不正アクセスへの対策として、各業界のセキュリティガイドラインでは、システムへの入り口の認証を強化する「多要素認証」の適用範囲を拡大しています。多要素認証に関して記載のある、各業界の主なガイドラインは以下の通りです。
2025年4月21日更新
スクロールできます
| 発行機関 | ガイドライン名称 | 多要素認証を要請する記述の要約 |
|---|---|---|
| 内閣官房 内閣サイバーセキュリティセンター | 政府機関等の対策基準策定のためのガイドライン(令和5年度版)(2023年7月4日) | インターネット等から直接クラウドサービスへアクセスを許可する場合は、多要素主体認証方式による主体認証を基本方針とする。クラウドサービスの管理コンソールに管理者がログインする場合は、多要素主体認証を利用する。ウェブコンテンツを更新する際の認証に多要素主体認証を設ける。リモートメンテナンスを行う主体の認証において多要素主体認証を用いる。情報システムの基盤を管理又は制御するソフトウェアを導入する端末などには、多要素主体認証を用いる。多要素主体認証の一つとして生体情報を利用する場合は、誤認や誤否の可能性があるという課題を考慮すること。リモートアクセスに対し多要素主体認証を行うこと。 |
| デジタル庁 | 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン(2024年1月31日) | 管理者アカウントによるアクセスには多要素認証等を用いる。 |
| 総務省 | 地方公共団体における 情報セキュリティポリシーに関する ガイドライン(令和6年10月版)(2024年10月2日) | マイナンバー利用事務系では、多要素認証を設定しなければならない。外部からの庁内ネットワークへのリモートアクセスでは多要素認証を設定することが望ましい。クラウドサービス利用時の重要な認証プロセスにおいては多要素認証を必須とする。 |
| テレワークセキュリティ ガイドライン第5版(2021年5月) | システム・セキュリティ管理者が実施すべき対策に、社内システムやクラウドサービスへのアクセス時の利用者認証機能として、可能な限り多要素認証を強制する。 | |
| クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)(2021年9月) | 情報資産へのアクセス制御となりすまし対策として、高い機密性、完全性が求められるサービスでは、多要素認証を採用する。 | |
| 5G セキュリティガイドライン第1版(2022 年4月22日) | セキュリティ対策要件として、施設への物理的なアクセス許可は多要素認証によって本人認証を行う。 | |
| スマートシティ セキュリティガイドライン(第 3.0 版)(2024年6月) | 特権を持つ利用者のシステムへのネットワーク経由でのログインに対して、 多要素認証を採⽤する。 | |
| 文部科学省 | 教育情報セキュリティポリシーに関するガイドライン(2025年3月) | パブリッククラウド上で重要な情報を取り扱う際には、多要素認証を含む強固なアクセス制御による対策を講じなければならない。ただし、児童生徒またはその保護者が重要な情報資産にアクセスする場合は、本人確認を厳格に行う前提でID及びパスワードでの認証を許容する。 共有IDを利用する場合には多要素認証と組み合わせる。 シングルサインオンに利用するID及びパスワードは漏洩した際の影響範囲が大きいため、必要に応じて多要素認証と組み合わせる。 特にデータの秘匿性や完全性の確保が相応に求められる場合においては、児童生徒のID及びパスワードに加え、多要素認証を設定し、本人確認を厳格に行うことが有効である。 |
| 厚生労働省 | 医療情報システムの安全管理に関するガイドライン第 6.0 版システム運用編(2023年5月) | 令和9年度時点で稼働していることが想定される医療情報システムを、今後、新規導入又は更新に際しては、二要素認証を採用するシステム の導入、又はこれに相当する対応を行う。 |
| 経済産業省 | 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第 1.1 版(2023年7月) | 医療情報システムの利用者認証における考慮事項として、医療情報の機密性の高さや攻撃手法の高度化に鑑み、多要素認証を可能な限り早期に採用すべきであるとしている。 |
| 独立行政法人情報処理推進機構 | 組織における内部不正防止ガイドライン第5版(2022年4月) | 組織内外に分散する重要情報について、アクセス権限を細かく設定して保護し、端末のクライアント証明書認証や利用者の多要素認証などを導入すること。 |
| 産業サイバーセキュリティ研究会 | 工場システムにおける サイバー・フィジカル・セキュリティ対策 ガイドラインVer1.1(2025年4月11日) | 技術的対策のチェックリストに、工場システムのリモートメンテナンスなどを目的とした外部からのインターネットアクセスが可能な場合は、多要素認証の対策を行うこと。 |
| 一般社団法人 日本自動車工業会/一般社団法人 日本自動車部品工業会 | 自工会/部工会・サイバーセキュリティガイドライン2.2 版(2024年8月1日) | 情報システムおよび情報機器に対する認証・認可の要求事項において、インターネットから利用できるシステムには多要素認証を実装していることが達成条件とされている。 |
| 各府省情報化統括責任者(CIO)連絡会議 | 行政手続におけるオンラインによる本人確認の手法に関するガイドライン(2019年2月25日) | オンラインにおける本人確認の手法として、遠隔又は対面での身元確認では、マイナンバーカード若しくはこれによることができない場合、多要素認証による当人認証を実施。 |
こちらもおすすめ:
各業界ガイドラインが要請する多要素認証(MFA)導入成功の方法を解説
多要素認証(MFA)とは~種類や仕組み、それぞれのメリットを詳しく解説~
Microsoft 365に多要素認証(MFA)を設定してセキュリティを強化しよう
