サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度): Keeper を活用したアプローチ
経済産業省が2026年度の運用開始を目指して構築を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度」への対応において、Keeper を活用したアプローチについて紹介します。
サプライチェーン強化に向けたセキュリティ対策評価制度の概要は、以下の記事をご確認ください。
Keeper を活用した対応アプローチ(★3・★4)
Keeper を活用するアプローチは、主に次の3つの領域に整理できます。
- ID・認証管理
- 共有ID・管理者ID・権限管理
- IDのライフサイクル管理
以下では、要求事項を整理しながら、Keeper がどのように評価制度に対して寄与できるのかを見ていきます。
ID・認証管理に関する要求事項
※ 評価基準ナンバーの横の要約は、ZUNDA による整理です。
認証の強度・実装方法
- 4-1-3-1(★3) 一意の認証情報による利用者認証
- 4-1-3-2(★3) 重要なクラウドサービス利用時の多要素認証
- 4-1-3-3(★3) 多要素認証に用いる認証要素の要件
- 4-1-3-4(★3) 多要素認証におけるパスワード長の要件
- 4-1-3-5(★4) インターネット経由での重要システム等へのアクセスにおける強固な認証
パスワード設定ルール
- 4-1-5-1(★3) デフォルトパスワードの変更
- 4-1-5-2(★3) 推測されやすいパスワードの利用禁止
- 4-1-5-3(★3) パスワード利用時の保護要件
- 4-1-5-4(★3) 情報機器・サービス間でのパスワード使い回しの禁止
パスワード管理ルール
- 4-1-6-1(★3) パスワードの安全な保管
- 4-1-6-2(★3) 漏えい時又は漏えい疑い時の速やかな変更手順の整備
- 4-1-6-3(★3) パスワード管理ルールの周知
認証情報がユーザーごとに一意であること、多要素認証が適切に利用されること、そして十分な強度を持つパスワードが設定・管理されることを確認する領域です。
この領域では、認証まわりが攻撃の起点にならないことが重視されています。具体的には、アカウントの一意性、多要素認証の適用、パスワードの強度、使い回しの防止、安全な保管と変更運用が求められます。特に★4では、インターネット経由で重要システムへアクセスする場合の認証強化まで対象が広がります。
Keeper は、強力で一意なパスワードの生成・保管、使い回し防止、安全な共有、認証要素の管理といった面で、この領域に直接寄与します。また、制度対応として実効性を持たせるには、環境全体にあわせたアクセス設計や運用整理も欠かせません。
共有ID・管理者ID・権限管理に関する要求事項
- 4-1-1-2(★3) 共有IDの管理
- 4-1-1-4(★3) 不要権限の削除
- 4-1-2-2(★3) 管理者IDの共有制限
- 4-1-2-3(★3) 最小権限の付与
- 4-1-2-8(★3) 権限の限定
これらの要求事項では、共有IDや管理者IDの利用を必要最小限にとどめ、不要な権限を見直し、特権的なアクセスを適切に統制することが求められています。特に、アカウントを共有せざるを得ない場合でも、誰が何を使ったのかを追跡できること、管理者権限を必要な人に必要な範囲だけ付与することが重視されています。
Keeper は、認証情報を安全に共有しながら、利用履歴を追跡しやすくするという点で、この領域に直接寄与します。共有アカウントを単に「みんなで知っているパスワード」として扱うのではなく、一定の統制のもとで利用できる状態に近づけやすくなります。また、KeeperPAMを組み合わせることで、申請・承認に基づく特権アクセスや、RDP・SSH・ブラウザ経由のアクセス制御なども行いやすくなります。これにより、管理者権限を恒常的に配り続けるのではなく、必要なときに必要な範囲だけ使わせる運用を実現できます。一方で、制度対応として実効性を持たせるには、IdP、デバイス管理、アクセス経路の設計、委託先を含めた権限棚卸しまで含めて整えることが重要です。
ZUNDA では、Keeper および KeeperPAM の導入だけでなく、IdP やデバイス管理、アクセス経路まで含めた全体設計を踏まえ、制度対応として現実的に機能する運用づくりをご支援しています。
IDのライフサイクル管理に関する要求事項
- 4-1-1-3(★3) 不要IDの削除・無効化
- 4-1-2-6(★3) 不要な管理者IDの削除
- 4-1-2-7(★3) 申請・承認制でのID管理
ID のライフサイクル管理では、不要になった ID や管理者 ID を速やかに削除・無効化し、付与・変更・削除の運用を属人的にせず、申請・承認の流れを含めて管理できることが求められています。
特に、退職者や異動者の ID が残り続けないこと、管理者権限を含む ID の見直しが継続的に行われること、ID の付与・変更・削除が申請・承認に基づいて統制されていることが重視されています。
Keeper は、共有アカウントの整理、利用実態の可視化、残存認証情報の棚卸し、証跡の確保といった面で、この領域に有効です。退職者や異動者に紐づく認証情報、共有認証情報の扱いを把握しやすくすることで、ライフサイクル管理の実効性を高めやすくなります。ただし、ID の付与・変更・削除そのものは、Keeper 単独では完結しません。制度対応として機能させるには、IdP(IDaaS)、人事・入退社プロセス、各システムのアカウント管理機能と連携した設計が必要です。
制度対応としては、単に削除ルールを定めるだけでなく、削除・無効化・見直しが継続的に回る状態を作れているかが問われます。ZUNDA では、IdP や人事・入退社フローも含めた全体設計を踏まえ、Keeper を活用した現実的な運用づくりをご支援しています。
詳細な対応内容についてはお問い合わせください
本制度における「攻撃等の防御」に関する要求事項のうち、特に ID 管理、認証、アクセス管理、監査といった領域については、Keeper を活用することで、★3で求められる基本的な対応と、その運用を進めやすくなります。
さらに、こうした対応を土台として整えていくことは、★4で求められる、より厳格なアクセス統制や証跡管理にもつながります。評価を一足飛びに上げるのではなく、まずは運用可能な形で整備し、段階的に高度化していくことが重要です。
実際にどこまで Keeper で対応できるのか、どこを IdP やデバイス管理、運用設計で補うべきかは、各社の環境によって異なります。ZUNDA では、実際の IT 環境を踏まえながら、制度対応として無理のない進め方をご支援しています。
