【2025年6月】多要素認証を義務化・推奨するガイドラインを紹介

株式会社インターナショナルシステムリサーチ

2025年6月30日

ポスト

はじめに

近年、様々な業界や政府機関が、より安全な認証方式として多要素認証（MFA）を義務化・推奨する動きが広がっています。
多要素認証の導入は、これらの最新のセキュリティ基準に適合し、コンプライアンス要件を満たす上でも重要となります。

多要素認証を義務化・推奨している主なガイドライン

※2025年6月時点

対象業種	発行元	ガイドライン・基準書	多要素認証に関する記述がある項目
対象業種自治体 / 公共	発行元内閣官房内閣サイバーセキュリティセンター（NISC）	ガイドライン・基準書政府機関等の対策基準策定のためのガイドライン（令和5年版）の一部改定（2024年7月）	多要素認証に関する記述がある項目 2.3.2 (1) 監査実施計画の策定 4.1.1 (3) 業務委託実施期間中の対策 4.2.2 (1) クラウドサービスの利用に係る運用規程の整備 4.2.2 (2) クラウドサービスの利用に係るセキュリティ要件の策定 6.2.3 (1) ウェブサーバの導入・運用時の対策 6.5.1 (1) 情報システムの基盤を管理又は制御するソフトウェア導入時の対策 7.1.1 (1) 主体認証機能の導入 7.2.4 (1) 標的型攻撃対策の実施 7.3.1 (3) 動的なアクセス制御の武装時の対策 8.1.3 (2) 実施環境における対策
対象業種自治体 / 公共	発行元内閣官房内閣サイバーセキュリティセンター（NISC）	ガイドライン・基準書重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書（2023年7月）	多要素認証に関する記述がある項目 11.4.2. 情報システム等のアクセス制御 11.4.2.2. パスワード管理 11.4.2.3. 多要素認証の活用
対象業種自治体 / 公共	発行元総務省	ガイドライン・基準書地方公共団体における情報セキュリティポリシーに関するガイドライン（2022年3月版）	多要素認証に関する記述がある項目第1章　情報セキュリティ基本方針　6. 情報セキュリティ対策第2章　情報セキュリティ対策基準　3. 情報システム全体の強靭性の向上　4. 物理的セキュリティ　5. 人的セキュリティ
対象業種全業種	発行元総務省	ガイドライン・基準書テレワークセキュリティガイドライン（第5版、2021年5月）	多要素認証に関する記述がある項目 3. クラウドサービスの活用の考え方（5）テレワークへのクラウドサービス活用の考慮事項　⑤ 厳格な認証情報の管理と認証手法の強化 2. システム・セキュリティ管理者が実施すべき対策 8. アカウント・認証管理 12. パスワードの使い回し　② テレワークセキュリティへの示唆　③ 有効な対策
対象業種全業種	発行元総務省	ガイドライン・基準書クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版、2021年9月）	多要素認証に関する記述がある項目 II.4.4.5. 【基本】アクセス制御となりすまし対策
対象業種全業種	発行元デジタル庁	ガイドライン・基準書政府情報システムにおけるセキュリティ・バイ・デザインガイドライン（2024年1月）	多要素認証に関する記述がある項目 4.2. セキュリティ・バイ・デザインの実施内容　4. セキュリティ設計　　ウ重要なセキュリティ対策の考え方
対象業種医療	発行元厚生労働省	ガイドライン・基準書医療情報システムの安全管理に関するガイドライン 6.0版システム運用編（2023年5月）	多要素認証に関する記述がある項目 14. 認証・認可に関する安全管理措置 14.1.1 利用者の識別・認証
対象業種医療	発行元経済産業省	ガイドライン・基準書医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版（2025年3月改定）	多要素認証に関する記述がある項目 5.1.2. リスク分析 5.1.5. リスク対応策の設計・評価（イ）医療情報システム等特有の考慮事項
対象業種製造業	発行元経済産業省	ガイドライン・基準書工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver1.1（2025年4月）	多要素認証に関する記述がある項目 3. セキュリティ対策企画・導入の進め方
対象業種自動車	発行元一般社団法人日本自動車工業会	ガイドライン・基準書自工会/部工会・サイバーセキュリティガイドライン v2.2（2024年8月）	多要素認証に関する記述がある項目 18 認証・認可 No.120
対象業種航空/鉄道/物流	発行元国土交通省	ガイドライン・基準書国土交通省所管重要インフラにおける情報セキュリティ確保に係るガイドライン	多要素認証に関する記述がある項目 5.4.2 情報システム等のアクセス制御 5.5 クラウドサービス
対象業種金融	発行元金融庁	ガイドライン・基準書金融分野におけるサイバーセキュリティに関するガイドライン（2024年10月）	多要素認証に関する記述がある項目 2.3.1. 認証・アクセス管理 2.3.4.4. インフラストラクチャ（ネットワーク等）の技術的対策
対象業種教育	発行元文部科学省	ガイドライン・基準書教育情報セキュリティポリシーに関するガイドライン（2025年3月改訂）	多要素認証に関する記述がある項目第3章教育現場におけるクラウドの活用について 3.2. 情報資産の管理（3）学校現場におけるクラウドサービスの利用 4.4. 教職員等の利用する端末や電磁的記録媒体等の管理 5.2. 教職員等の遵守事項 6.2. アクセス制御 7.3. 教職員等の ID 及びパスワードの管理 7.5. 児童生徒におけるID及びパスワード等の管理 9.1. SaaS型パブリッククラウドサービスの利用における情報セキュリティ対策 9.3. SaaS型パブリッククラウドサービス利用における教職員等の留意点
対象業種建設	発行元一般社団法人日本建設業連合会建築生産委員会ICT推進部会情報セキュリティ専門部会	ガイドライン・基準書建築現場ネットワークガイドライン（2024年12月）	多要素認証に関する記述がある項目 7.4. 利用デバイスと情報漏洩対策

多要素認証とは

さまざまな業界ガイドラインで多要素認証導入の対応が求められるようになってきていますが、そもそも「多要素認証」とはどのようなものなのでしょうか。

多要素認証（MFA: Multi-Factor Authentication）とは、クラウドサービス・Webサービスへのログイン時に、知識情報、所持情報、生体情報の3つの要素のうち、2つ以上の異なる要素によって行う認証を指します。

それぞれの要素に属する固有情報と、その情報を読み取るために必要なデバイスは右の表のとおりです。

多要素認証（MFA）について詳しく知る

知識情報 (SYK: Something You Know) | 多要素認証 (MFA) とは知識情報
(SYK: Something You Know)

本人しか知り得ない情報

固有情報

• パスワード
• 秘密の質問
• パターン情報

必要なもの

• キーボード
• マウス
• 記憶力

所持情報 (SYH: Something You Have) | 多要素認証 (MFA) とは所持情報
(SYH: Something You Have)

本人しか持っていないもの

固有情報

• ICカード
• ハードウェアトークン
• スマートフォン

必要なもの

• ICカードリーダー
• スキャナ

生体情報 (SYA: Something You Are) | 多要素認証 (MFA) とは生体情報
(SYA: Something You Are)

生物固有の情報または特性

固有情報

• 指紋
• 虹彩
• 静脈
• 声紋
• 顔

必要なもの

• カメラ
• マイク
• 指紋/静脈リーダー

フィッシング耐性の高い多要素認証を実現する
「パスキー（FIDO認証）」

代表的な多要素認証としてOTP（ワンタイムパスワード）が挙げられますが、ウェブ上に入力した認証情報をネットワークを通じてサーバーへ送信する方法であることから、パスワードと同様にリアルタイムフィッシングへの耐性がありません。

そこで注目されているのが「パスキー（FIDO認証）」です。パスワードに依存しない（パスワードレス）認証の普及を目指す団体・FIDOアライアンスが策定した認証技術であり、フィッシング耐性が高いとされています。認証の際に用いるFIDO認証資格情報は「パスキー」と呼ばれており、パスワードの代替手段としてユーザーのサービスログイン方法にパスキー認証を採用する企業が増加しています。

パスキー（FIDO認証）について詳しく知る

上記リストにある『政府機関等の対策基準策定のためのガイドライン』においても、パスワードを用いない認証技術であるパスキー（FIDO認証）は安全性が高いとされています。

弊社は2014年にFIDOアライアンスに参画し、パスキー（FIDO認証）に対応したSSO（シングルサインオン）サービスの提供を行ってきました。今年5月にはFIDOアライアンスが発表した「パスキー宣言」に署名するなど、その取り組みをさらに強化しています。

FIDO認証に対応した多要素認証・SSOソリューション
CloudGate UNOの資料を無料ダウンロードする

パスキー（FIDO認証）の
社内展開を実現した事例

馬淵建設株式会社様

パスキー認証＆デバイス制御でセキュリティを強化！ヘルプデスク対応やキッティング作業の工数削減も

詳細はこちら

ケイコン株式会社様

ゼロトラスト時代の認証基盤を構築。生体認証と証明書の全社導入で利便性とセキュリティを向上

詳細はこちら

一歩進んだ多要素認証「パスワードレス認証」

多要素認証のなかでも特に、従来のパスワードによる認証に依存せず、パスキーや生体情報（指紋、顔など）、証明書を利用してユーザーを認証する方法が「パスワードレス認証」です。パスワードレス認証は、セキュリティ対策強化だけでなく、情報システム部門の業務軽減やユーザーの利便性向上も実現します。

パスワードレス認証のメリット

1. パスワードリスト型攻撃のリスク軽減
パスワードは、複数のサービスで使いまわされる傾向にあります。そのため、一つのサービスから漏洩したパスワード情報が、他のサービスへの不正アクセスに悪用される「パスワードリスト型攻撃」のリスクが常に存在します。パスワードレス認証はパスワードを使用しないため、この種のリスクがありません。
2. フィッシング詐欺への耐性強化
攻撃者は、正規のログイン画面を模倣した巧妙なフィッシングサイトを用意し、ユーザーにパスワードを入力させることで認証情報を詐取します。パスワードレス認証ではサイト上に認証情報を入力することがないため、リスクを大幅に軽減します。特に生体認証やパスキーは、オンライン上でのなりすましが極めて困難です。

3. ユーザーの利便性向上
生体情報（顔や指紋など）を利用したパスワードレス認証は、より迅速かつ自然な方法で認証を行うことができるため、ユーザーの利便性を向上させるとともに、パスワード忘れによるロックアウトや再設定の手間などのストレスを軽減します。
Microsoftは2024年にコンシューマー向けMicrosoftアカウントにパスキーのサポートを導入した後、パスキーでサインインするユーザーの認証成功率は約98%と非常に高く、パスワード認証時の成功率（32%）の3倍という結果を発表しています。
参考：Microsoft SecurityPushing passkeys forward: Microsoft's latest updates for simpler, safer sign-ins

4. 運用管理負担を20%削減
キヤノンマーケティングジャパンの調査結果では、情報システム部門の業務においてヘルプデスク業務の占める割合が20%以上との回答が約半数（47.6%）となっています（右図参照）。
パスワードレス認証導入により、アカウント管理、パスワードリセット作業やパスワードポリシーなどのパスワード関連業務が削減されるため、情報システム部門の業務としては、10%〜20%の削減が見込まれます。
実際に弊社のお客様では、業務全体の17〜20%を占めていたパスワード関連のヘルプデスク業務が、パスワードレス認証の導入によりゼロとなり、大幅な効率化を実現しました。
ヘルプデスク対応の工数削減を実現した導入事例を見る
社員数やクラウドサービスの利用数が増えるとその分アカウント管理業務も増えるため、得られる削減効果はさらに大きくなります。その削減された時間をセキュリティ対策に充てることができます。
企業におけるパスワードリセット問題について考えよう