コラム

SCS評価制度への対応に、パスワード管理が欠かせない理由——製造業・情シス担当者向けガイド

発注元からSCS★取得を求められる前に、何を準備すべきか。パスワード管理の観点から、1Password Business がどう対応できるかを解説します。

SCS評価制度とパスワード管理の関係

経済産業省が推進するサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)では、★3以上の取得にあたりパスワード管理に関する要件が明示されています。

📌 制度の現状について(2026年5月時点)
本制度は2026年3月27日に制度構築方針の確定版が公表され、検討段階から実施段階へ移行しました。2026年度下期(2026年10月〜2027年3月頃)の正式運用開始を目指して準備が進められています。ただし、詳細な評価ガイドや細則は2026年秋頃に公表予定であり、要件の番号・内容に一部変更が生じる可能性があります。本ページに記載の要件番号は現時点の制度構築方針(案)に基づくものです。最新情報は下記の公式資料をご確認ください。

特に確認が必要な要件
SCS評価制度では各要件に番号が付与されており、パスワード管理に関する主な要件は以下の通りです(以降、略称で記載)。
4-1-5-3「多要素認証または試行制限+8文字以上」(セキュリティ対策評価制度 4-1-5-3 以降 4-1-5-3 と略します)/4-1-5-4「パスワードの使い回し禁止」/4-1-6-1「パスワードの安全な保管」

★3はセキュリティ専門家の署名が必要であり、Excel や口頭での説明では証明できません。ツールによる証跡の自動生成が実質的に求められます。

出典・参考資料
経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(2026年3月27日)
https://www.meti.go.jp/policy/netsecurity/scs.html

IPA(独立行政法人情報処理推進機構)「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」
https://www.ipa.go.jp/security/scs/index.html 

自工会・部工会「サイバーセキュリティガイドライン」(SCS評価制度の前身となる業界ガイドライン)
https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_guideline_V02_03.pdf 

製造業で特に注意すべき「SSO対応外」の領域

IdP(Okta・Entra ID等)を導入済みの企業でも、以下のシステムはSSOの対象外になっているケースがほとんどです。

  • 取引先の発注ポータル・EDIシステム
  • 生産管理・CAD/CAMなどのオンプレシステム
  • Wi-Fi・ルータ・サーバ管理画面などの管理系パスワード
  • VPN接続のローカルアカウント
  • 生産設備・産業機器の管理アカウント(SCADA・PLC・産業用ルータ等)

製造業特有のリスク:設備管理アカウントの属人化
SCADA・PLC・産業用ルータなどの管理画面は、担当者しか知らないパスワードが設備ごとに存在しているケースが多く、退職・異動時の引き継ぎが困難です。設備停止リスクに直結する最重要領域でありながら、SSOの管理対象外になっていることがほとんどです。1Password Business のシェア型保管庫で保管することで、担当者不在時でも必要な人が安全にアクセスできる体制を整えられます。

これらを個別管理・紙管理のままにすると、4-1-5-4(使い回し禁止)や4-1-6-1(安全保管)の要件充足が困難になります。

1Password Business で充足できる要件

  • 使い回しの検出・警告(Watchtower 機能)で4-1-5-4に対応
  • 暗号化保管保管庫で4-1-6-1の安全保管要件に対応
  • 複雑なパスワードの自動生成で4-1-5-3の複雑性要件に対応
  • 退職者アカウントの即時無効化でアクセス権管理を自動化
  • SSO非対応のシステム・共有IDも保管庫で一元管理

監査・証跡への対応

1Password Business では、保管庫レベルのアクセスログが自動で記録されます。「誰が・いつ・どの保管庫のどのアイテムを操作したか」がレポート化でき、SCS審査の証跡として活用できます。

ログで確認できること
アイテムの閲覧・コピー・編集・エクスポートの操作記録、保管庫へのアクセス権変更、ユーザーの追加・削除など。SIEMツールとの連携にも対応しています。

なお、実際にどのシステムにログインしたかまでは 1Password のログでは確認できません。その場合はEDRツール(CrowdStrike・Microsoft Defender等)のログと組み合わせることで、より高い精度での追跡が可能です。

マジックハットの導入支援

  1. 1現状棚卸・ヒアリング
    SSO対応外のシステム数・評価制度対応の要否を確認します
  2. 21Password Business 導入・設定
    保管庫設計・SSO連携・ポリシー設定を支援します
  3. 3運用定着・展開サポート
    管理者・利用者向けの日本語マニュアル・研修を提供します
  4. 4SCS審査対応支援
    証跡レポートの出し方・監査での説明ポイントを伴走でサポートします

関連ページ

  1. 1Password Business 製品ページ
  2. ★3・★4 取得:パスワードマネージャーあり vs なし 対照表
お問い合わせはこちら

本記事は AI を活用して作成・翻訳し、担当者が内容を確認しています。正確な情報については原文および公式ドキュメントをあわせてご参照ください。

この記事をシェア
  • URLをコピーしました

製品に関するご相談・価格など
お気軽にご相談ください

問い合わせる