サプライチェーンのセキュリティリスクが増大する中、経済産業省のセキュリティ対策評価制度(SCS評価制度)への対応が急務となっています。
本コラムは『サプライチェーンセキュリティ対策評価制度 完全対応ガイドシリーズ』の第8回です。
中小企業も対象となるSCS評価制度を見据え、多要素認証(MFA)構築の重要性と具体的な導入ポイントを解説します。
目次
絵で見る今回のコラム
サプライチェーンセキュリティ対策評価制度とは
SCS評価制度の概要
経済産業省が提唱するSCS評価制度は、サプライチェーン全体のセキュリティレベル向上を目的としています。
グローバル化が進む現代において、企業は国内外の様々な事業者と連携し、製品やサービスを提供しています。
この複雑なサプライチェーン全体を保護するため、セキュリティ対策の強化が不可欠となっています。
SCS評価制度は、この課題に対応するためのフレームワークとして位置づけられ、中小企業も対象であり、自社のセキュリティ対策状況を評価される可能性があります。
大企業だけでなく、中小企業もサプライチェーンの一員として重要な役割を担っているため、中小企業もSCS評価制度を理解し、適切な対策を講じることが求められます。
評価結果によっては、取引先との関係に影響が出る可能性もあるため、注意が必要です。
SCS評価制度は、サプライチェーン全体のセキュリティリスクを低減し、企業の競争力強化に繋がるものと期待されています。
評価制度への対応の重要性
評価制度への対応は、取引先からの信頼獲得やビジネス機会の拡大に繋がります。
セキュリティ対策をしっかりと行っていることを証明することで、取引先からの信頼を得ることができ、新たなビジネスチャンスに繋がる可能性が高まります。
特に、セキュリティ意識の高い企業との取引においては、評価制度への対応が必須となる場合があります。
また、自社のセキュリティリスクを可視化し、対策を講じることで、事業継続性を高めることができます。
評価制度への対応を通じて、自社のセキュリティ体制の弱点を把握し、改善することで、サイバー攻撃などのリスクを低減し、事業継続性を確保することができます。
事業継続性の確保は、企業の社会的責任を果たす上でも非常に重要です。
SCS評価制度への対応は、単なる義務ではなく、企業価値を高めるための投資と捉えることができます。
多要素認証(MFA)が不可欠な理由
SCS評価制度では、多要素認証(MFA)の導入が重要な評価項目の一つです。
MFAは、従来のID・パスワードによる認証に加えて、別の認証要素(例えば、スマートフォンアプリによる認証や生体認証など)を組み合わせることで、セキュリティ強度を大幅に向上させる技術です。
パスワードは、総当たり攻撃やフィッシング詐欺などによって、容易に盗み取られる可能性があるため、パスワードのみの認証では、不正アクセスを防ぐことが難しく、情報漏洩のリスクが高まります。
また、同じパスワードを複数のサービスで使い回している場合、一つのサービスからパスワードが漏洩すると、他のサービスも危険に晒されることになります。
MFAを導入することで、仮にパスワードが漏洩した場合でも、不正アクセスを阻止することができます。
MFAは、SCS評価制度に対応する上で、最も重要なセキュリティ対策の一つと言えるでしょう。
多要素認証(MFA)構築のポイント
導入範囲の明確化
まずは、業務システムやクラウドサービスなど、保護すべき重要な資産を特定し、MFAの適用範囲を明確にしましょう。
MFAを導入する際には、すべてのシステムに一律に適用するのではなく、保護すべき情報の重要度やリスクに応じて、適用範囲を検討することが重要です。
例えば、顧客情報や機密情報を取り扱うシステムには、必ずMFAを導入する必要があります。
一方、公開情報のみを扱うシステムについては、MFAの導入を見送ることも検討できます。
MFAの適用範囲を明確にすることで、導入コストを最適化し、ユーザーの利便性を損なわずにセキュリティを強化することができます。
また、適用範囲を明確にすることで、MFAの運用管理も効率化することができます。
認証方式の選定
MFAには認証アプリ、SMS認証、生体認証など、様々な認証方式があります。
認証アプリは、スマートフォンにインストールされたアプリが生成するワンタイムパスワードを利用する方式です。
SMS認証は、携帯電話番号に送信された認証コードを入力する方式です。
生体認証は、指紋や顔などの生体情報を利用する方式です。
利便性とセキュリティレベルを考慮し、最適な認証方式を選定しましょう。
認証アプリは、セキュリティレベルが高い一方で、スマートフォンの紛失・盗難時に対応が必要になります。
SMS認証は、手軽に導入できる一方で、SMSの傍受リスクがあります。
生体認証は、利便性が高い一方で、生体情報の漏洩リスクがあります。
複数の認証方式を組み合わせることで、セキュリティレベルをさらに向上させることも可能です。
自社の環境やユーザーのニーズに合わせて、最適な認証方式を選択することが重要です。
ユーザー教育の徹底
MFAの利用方法やセキュリティ上の注意点について、ユーザーへの教育を徹底しましょう。
MFAを導入しても、ユーザーが適切に利用しなければ、その効果は十分に発揮されません。
例えば、認証アプリの利用方法や、SMS認証コードの取り扱いについて、ユーザーに周知する必要があります。
また、セキュリティ上の注意点として、フィッシング詐欺などの攻撃に対する注意喚起を行うことが重要です。
攻撃者は、様々な手口でユーザーを騙し、認証情報を盗み取ろうとします。
例えば、偽のログイン画面を表示したり、緊急を装ったメールを送信したりするなど、様々な手口でユーザーを油断させようとします。
ユーザーは、常に警戒心を持ち、不審なメールやウェブサイトにはアクセスしないようにする必要があります。
定期的なセキュリティ教育を実施することで、ユーザーのセキュリティ意識を高め、MFAの効果を最大限に引き出すことができます。
ID・アクセス管理の強化
シングルサインオン(SSO)の導入
複数のシステムへのログインをSSOで一元化することで、ユーザーの利便性を向上させるとともに、ID・パスワード管理の負担を軽減できます。
SSOを導入することで、ユーザーは複数のシステムに同じID・パスワードでログインできるようになります。
これにより、ユーザーは複数のID・パスワードを覚える必要がなくなり、利便性が向上します。
また、ID・パスワード管理の負担が軽減されることで、パスワードの使い回しなどのリスクを低減することができます。
SSOの導入は、セキュリティ強化だけでなく、業務効率化にも繋がるため、積極的に検討しましょう。
アクセス権限の適切な設定
不要なアクセス権限を削除し、最小権限の原則を適用することで、情報漏洩のリスクを低減できます。
最小権限の原則とは、ユーザーが必要な範囲でのみアクセス権限を与えるという原則です。
例えば、経理担当者には経理システムへのアクセス権限のみを与え、人事システムへのアクセス権限は与えないようにします。
これにより、仮に経理担当者のアカウントが乗っ取られた場合でも、人事情報へのアクセスを防ぐことができます。
定期的なアクセス権限の見直しを行いましょう。
組織変更や人事異動などにより、ユーザーの役割が変わることがあります。
その際には、アクセス権限の見直しを行い、不要なアクセス権限を削除する必要があります。
アクセス権限の見直しは、定期的に行うことが重要です。
少なくとも年に一度は、すべてのユーザーのアクセス権限を見直しましょう。
IDaaSの活用
IDaaS(Identity as aService)を活用することで、ID・アクセス管理をクラウド上で一元的に行うことができます。
IDaaSは、クラウド上で提供されるID・アクセス管理サービスであり、SSO、MFA、アクセス権限管理などの機能を提供しています。
セキュリティ対策の強化と運用コストの削減を両立できます。
IDaaSを利用することで、自社でID・アクセス管理システムを構築・運用する必要がなくなり、運用コストを削減することができます。
また、IDaaSは、最新のセキュリティ技術を搭載しており、常にセキュリティレベルを最新の状態に保つことができます。
IDaaSの導入は、セキュリティ強化と運用コスト削減の両方を実現するための有効な手段と言えるでしょう。
様々なIDaaSベンダーが存在するため、自社のニーズに合ったサービスを選定することが重要です。
クラウドセキュリティ対策の重要性
クラウド設定の見直し
パブリッククラウドのセキュリティ設定ガイドを参考に、AWS、Azure、GoogleCloudなどのクラウドサービスの設定を見直しましょう。
各クラウドプロバイダーは、セキュリティ設定に関するガイドラインを提供しています。
これらのガイドラインを参考に、自社のクラウド環境の設定を見直すことが重要です。
ストレージの公開設定不備は情報漏洩の大きな原因となります。
クラウドストレージの設定ミスにより、機密情報がインターネット上に公開されてしまう事例が後を絶ちません。
クラウドストレージの設定は、十分に注意して行う必要があります。
定期的に設定を見直し、不備がないか確認することが重要です。
クラウドセキュリティの設定は複雑であり、専門的な知識が必要となる場合があるので必要に応じて、セキュリティ専門家の支援を仰ぐことも検討しましょう。
インシデント対応体制の構築
万が一、セキュリティインシデントが発生した場合に備え、対応体制を構築しておきましょう。
セキュリティインシデントは、いつ発生するか予測できません。
そのため、事前に対応体制を構築しておくことが重要です。
インシデント発生時の連絡体制や対応手順を明確にし、誰に連絡するか、誰が対応するのか、
どのような手順で対応するのか等、連絡体制や対応手順を文書化し、関係者全員に周知しておくことが重要です。
机上訓練や実動訓練などを実施することで、インシデント発生時の対応能力を向上させることができます。
インシデント対応体制の構築は、企業の信頼性を維持するために不可欠な要素です。
定期的なセキュリティチェックの実施
定期的にセキュリティチェックを実施し、脆弱性を早期に発見し、対策を講じることが重要です。
セキュリティチェックは、定期的に行うことで、常に最新のセキュリティ状態を維持することができます。
脆弱性を早期に発見し、対策を講じることで、サイバー攻撃のリスクを低減することができます。
設定値や確認手順を文書化し、ツールを活用したセキュリティ監視の効率化を図りましょう。
セキュリティチェックの手順や設定値を文書化することで、誰でも同じようにセキュリティチェックを実施することができます。
また、セキュリティ監視ツールを活用することで、セキュリティチェックの効率化を図ることができます。
セキュリティチェックは、専門的な知識が必要となる場合があるので必要に応じて、セキュリティ専門家の支援を仰ぐことも検討しましょう。
まとめ:SCS評価制度対応に向けた多要素認証構築
SCS評価制度への対応は、企業にとって避けて通れない道です。
グローバルサプライチェーンにおけるセキュリティリスクの高まりを受け、SCS評価制度の重要性はますます高まっており、多要素認証(MFA)の導入は、その第一歩となります。
MFAは、SCS評価制度における重要な評価項目であり、導入することでセキュリティレベルを大幅に向上させることができます。
本記事で解説したポイントを参考に、自社のセキュリティ対策を見直し、SCS評価制度への対応を進めていきましょう。
導入範囲の明確化、認証方式の選定、ユーザー教育の徹底、ID・アクセス管理の強化、クラウドセキュリティ対策の重要性など、様々な側面からセキュリティ対策を検討する必要があります。SCS評価制度への対応は、単なる義務ではなく、企業価値を高めるための投資と捉え、積極的に取り組むことが重要です。
※本制度は現在構築中(2026年度運用開始予定)のものです。最新の情報は経済産業省の公式サイト等で随時ご確認ください。本格始動に備え、現段階から自社のセキュリティポリシーの見直しや、サプライヤーとのコミュニケーションラインの再確認を進めておくことが推奨されます。
弊社では、M365のMFA導入サービスを提供しています。これを機にご検討してみてはいかがでしょうか?
MFA導入のご相談はこちら
