経済産業省セキュリティ評価制度の星3取得に必要な多要素認証の要件とは

ウイルス対策、セキュリティ対策

経済産業省が推進する情報セキュリティ評価制度(通称: ISMS認証に関連する簡易評価)では、組織の情報資産を守るためのセキュリティ対策のレベルを星1~星5で評価しています。星3の取得を目指す場合、PCログイン時に多要素認証が必須かどうか悩む担当者も多いでしょう。

星3評価の基本的な考え方

星3では、中程度のリスク管理と標準的なセキュリティ対策が求められます。具体的には、機密情報や業務データのアクセス制御、ログ管理、ウイルス対策など基本的な管理策が対象となります。

ポイントは、組織内でのリスクに応じた適切な認証・アクセス管理を行っているかです。

PCログイン時の多要素認証の位置づけ

星3評価では、PCログイン自体に多要素認証(MFA)が必須と明記されているわけではありません。通常のID・パスワードでログイン可能であり、業務で利用するクラウドサービスやメールアクセス時にMFAを導入していれば、評価上の要件を満たせます。

つまり、PC起動時はID・パスワード、メールやクラウドサービスは多要素認証で運用しているケースが標準的です。

実務上の具体例

例えば、個人事業主や中小企業の場合。

  • PCログイン:ID・パスワードのみ
  • メールサービス:MFA利用(認証アプリやSMS)
  • クラウドストレージ:MFA利用

この運用で、星3レベルのアクセス制御と考えられるため、評価取得の大きな障害にはなりません。

注意点とおすすめ運用

PCログイン時にMFAを導入することはセキュリティ強化として有効ですが、星3の評価基準上は必須ではありません。重要なのは以下です。

  • クラウドサービスやメールに必ずMFAを設定
  • PC利用者のアカウント管理とパスワード管理を徹底
  • 端末のウイルス対策・OS更新を実施

これらを組み合わせることで、星3評価の要件を満たしつつ運用の負担も最小化できます。

まとめ

経済産業省セキュリティ評価制度で星3を取得する場合、PCログイン時の多要素認証は必須ではありません。メールやクラウドサービスに対するMFAの導入があれば、PCはID・パスワードでのログインで十分です。運用上は、クラウドサービス・メール・端末管理を適切に行うことで、星3取得を目指せます。

コメント

タイトルとURLをコピーしました