SCS評価制度(★3)への対応を検討し始めたとき、「多要素認証(MFA)が必要」という情報を目にした経営者から、こんな反応が返ってくることがあります。
「うちはMicrosoft 365を使っているから、MFAの設定を有効にすれば終わりですよね?」
クラウドサービス中心の企業にとっては、その通りです。設定変更だけで対応できます。
しかし自社サーバーを使っている企業にとっては、話がまったく異なります。「MFAの設定を有効にする」という選択肢自体が存在しない場合があり、対応するためには開発コストと時間が必要になります。
★3への対応を検討する際、この違いを認識していないと費用見積もりが大きく狂う可能性があります。
本記事では、★3の認証要件の本質を整理した上で、クラウド環境と自社サーバー環境での対応の違いを解説します。
この記事でわかること
- ★3の認証要件はMFA義務化ではないという事実
- クラウド中心の企業の対応(設定変更で完結)
- 自社サーバーを持つ企業が直面する現実
- 3つの選択肢と経営判断の軸
- ★3対応の費用見積もりで見落としやすいポイント
SCS評価制度の多要素認証要件とは何か|MFA義務化ではない
★3の要求事項4-1-3の本質
★3の要求事項4-1-3は「認証の強度・実装方法の決定」です。具体的な内容はこうなっています。
「システム及び情報の重要度に応じて認証の強度及び実装方法を決定すること。すべてのユーザIDについて、アプリケーション及び情報機器へのアクセスを許可する前に、一意の認証情報でユーザを認証すること。」
ここで重要なのは「重要度に応じて」という部分です。全てのシステムにMFAを義務化しているのではなく、重要度が高いシステム・データへのアクセスに見合った強度の認証を使うことを求めています。
重要度に応じた認証の考え方
| 重要度 | 情報・システムの例 | 求められる認証強度 |
|---|---|---|
| 高 | 顧客情報・財務データ・人事データ | MFA等の強い認証 |
| 中 | 社内業務システム・グループウェア | パスワード+アクセス制御 |
| 低 | 社内掲示板・公開情報 | パスワード認証でも可 |
つまり★3が求めているのは「重要なデータへのアクセスに見合った認証をかけているかどうかの方針を決めること」です。
MFAとは何か
MFA(Multi-Factor Authentication・多要素認証)は二段階認証と同じ概念です。パスワードだけでなく、スマホに届く確認コードや認証アプリの承認など、複数の要素でログインを確認する仕組みです。パスワードが盗まれても、スマホがなければログインできないため、不正アクセスを大幅に防げます。
SCS評価制度の多要素認証対応|クラウド環境は設定変更だけ
クラウドサービス中心の企業の現実
Microsoft 365・Google Workspace・Salesforce・kintone等の主要クラウドサービスは、既にMFA機能を標準で持っています。管理画面から設定を有効にするだけで対応できます。
主要サービスの対応状況:
| サービス | MFA対応 | 設定場所 |
|---|---|---|
| Microsoft 365 | ✅ 標準対応(管理者は義務化済み) | Microsoft Entra管理センター |
| Google Workspace | ✅ 標準対応 | Google管理コンソール |
| Salesforce | ✅ 標準対応 | 設定→ID→セッション設定 |
| kintone | ✅ 標準対応 | サイボウズ共通管理 |
なお2025年2月以降、Microsoft 365の管理者アカウントはMFAが義務化されています。既にMicrosoft 365を使っている企業は、管理者アカウントのMFA設定を確認することが最初のステップです。
クラウド中心の企業がやること: IT資産台帳のソフトウェア台帳で把握した全サービスについて、MFAが有効になっているかを確認し、有効になっていないものを設定する。追加コストはほぼゼロで対応できます。
SCS評価制度の多要素認証対応|自社サーバーの落とし穴
自社サーバーにMFAが「ない」という現実
10年前・15年前に構築した社内システムには、MFA機能が実装されていないことがほとんどです。
- 販売管理システム
- 在庫管理システム
- 顧客管理システム
- 社内ポータル・グループウェア
これらはID・パスワードでログインする仕組みで作られており、MFAを追加するためには何らかの対応が必要になります。クラウドサービスのように「設定を有効にする」という選択肢が存在しません。
なぜこれが★3の落とし穴になるのか
★3の要求事項4-1-3では、顧客情報・財務データ等の重要情報へのアクセスに見合った認証が求められます。自社サーバーで動いている販売管理システムや顧客管理システムがID・パスワードだけでアクセスできる状態は、重要度高の情報への認証として不十分と判断される可能性があります。
「うちはパスワードをしっかり管理しているから大丈夫」という判断は、★3の評価基準では認められない可能性があります。
SCS評価制度の多要素認証対応|自社サーバーの3つの選択肢
自社サーバーの認証強化には3つの選択肢があります。いずれも一定のコストと時間が必要です。
選択肢①:既存システムの改修
既存システムにMFA機能を追加開発する方法です。
メリット: 既存のシステムをそのまま使い続けられる デメリット: 開発コストが高い。システムの規模・複雑さによりますが数百万〜数千万円の開発費用が発生する可能性があります。また既存システムの仕様によっては改修が困難な場合もあります。 向いている企業: 既存システムへの依存度が高く、移行が困難な場合
選択肢②:IDaaS(認証サービス)の導入
Azure Active Directory・Okta・OneLogin等のIDaaS(Identity as a Service)を既存システムの前段に置き、認証をIDaaS側で管理する方法です。
メリット: 既存システムの大幅な改修なしにMFAを追加できる場合があります。複数システムの認証を一元管理できます。 デメリット: 月額費用が発生します。既存システムとの連携開発が必要な場合があります。 向いている企業: 複数の社内システムがあり、認証を一元管理したい場合
選択肢③:クラウドサービスへの移行
該当システムをSaaSに移行する方法です。
メリット: MFA対応が標準で含まれます。長期的にはシステム保守コストが下がる可能性があります。 デメリット: データ移行・業務プロセスの変更・社員教育が必要です。移行期間中の業務影響があります。 向いている企業: 既存システムが老朽化していて、いずれ移行を検討していた場合
経営判断の軸
3つの選択肢のどれを選ぶかは、以下の問いで判断できます。
「既存システムへの依存度・移行コスト・長期的な保守コスト、どの観点を優先するか」
★3対応という外部要件が、以前から検討していたシステム刷新の背中を押す判断材料になる場合もあります。セキュリティ対策評価制度が中小企業に与える影響でも整理していますが、★制度への対応コストは取引先への価格転嫁の正当な材料として経済産業省・公正取引委員会が認める指針を出しています。
SCS評価制度の多要素認証対応|費用見積もりで見落とさないために
★3対応の費用見積もりをするとき、クラウド環境中心の企業は認証対応コストをほぼゼロで計算できます。しかし自社サーバーを持つ企業は認証改修コストを含めた見積もりが必要です。
確認すべき問い:
- 重要情報(顧客情報・財務データ)を管理しているシステムはクラウドか自社サーバーか
- 自社サーバーの場合、そのシステムにMFAを追加できるか
- 追加できない場合、3つの選択肢のうちどれが現実的か
- その対応にかかるコストと期間を★3対応の費用見積もりに含めているか
まとめ|SCS評価制度の多要素認証対応はITインフラで難易度が変わる
★3の認証要件はMFAの義務化ではありません。重要情報へのアクセスに見合った認証方針を決めることが求められています。
クラウドサービス中心の企業にとっては設定変更だけで対応できます。しかし自社サーバーで重要情報を管理している企業には、改修・IDaaS導入・クラウド移行という選択肢から経営判断が必要であり、想定外のコストと時間がかかる可能性があります。
★3への対応を検討し始めたとき、最初に確認すべきことがあります。「自社の重要情報はクラウドにあるか、自社サーバーにあるか」という問いです。この答えが、★3対応の難易度と費用の見積もりを大きく左右します。
コメント