SCS評価制度の★3・★4取得を目指すとき、パスワードマネージャーの有無でどう変わるか。IdP（SSO）導入済みの企業と未導入の企業、それぞれの現実を対照表で整理します。

📌 制度の現状について（2026年5月時点）：制度構築方針の確定版は2026年3月27日に公表済みです。正式運用は2026年度下期（2026年10月〜2027年3月頃）を目指して準備中ですが、詳細な評価ガイドや要件の細則は2026年秋頃に公表予定のため、一部内容が変更される可能性があります。本ページの要件番号・内容は現時点の制度構築方針に基づくものです。最新情報はIPA公式ページでご確認ください。

前提：2つの企業シナリオ

SCS評価制度への対応を検討する企業は、大きく2つの状況に分かれます。本ページではそれぞれを「企業①」「企業②」と定義し、パスワードマネージャーの有無による違いを整理します。

IdP / SSO 導入済み企業 × ★3 取得

IdP導入済みでも、SSO対応外のシステムが5個以上ある場合、パスワードマネージャーなしでの★3取得はかなり困難になります。

IdP / SSO 導入済み企業 × ★4 取得

★4では共有IDの統制・アクセス権の定期棚卸・監査証跡の提出が審査で求められます。「仕組みとしての統制」が証明できるかどうかが鍵です。

IdP 未導入企業 × ★3 取得

IdPがない環境では、すべてのシステムが「SSO対応外」です。パスワードマネージャーなしでの★3取得は、実質的に不可能に近い状況です。

まとめ：パスワード数で変わる「必須度」

パスワードマネージャーが「あると望ましい」か「必須」かは、IdP対応外のパスワードが何個あるかで変わります。

一言まとめ
★3は「頑張れば回る vs 頑張っても回らない」、★4は「仕組みで回る vs 仕組みがないと回らない」

関連ページ

• SCS評価制度への対応ガイド（製造業・情シス向け）
• 1Password Business 製品ページ・2つのプラン
• よくあるご質問

本記事は AI を活用して作成・翻訳し、担当者が内容を確認しています。正確な情報については原文および公式ドキュメントをあわせてご参照ください。