Skilled は Vue.js のオフィシャルパートナーです

ITパスポートYuya

【セキュリティ関連法規】不正アクセスと不正アクセス禁止法について解説 ゼロから学ぶITパスポート講座

 

この記事は就活や転職にも役立つ資格、「ITパスポート」についての解説記事です。

今回はセキュリティ関連法規を理解するために、試験範囲の”ストラテジー系 セキュリティ関連法規”に位置づけられる「不正アクセス禁止法」について、現役エンジニアの著者が分かりやすく解説していきます。

記事の後半では過去にITパスポート試験に実際に出題された問題も取り扱っていますのでぜひ最後まで目を通してみてください。

 

 

不正アクセス禁止法

許可や利用する権限を与えられてないコンピュータに対して、ネットワークを介して不正に接続(アクセス)する行為を「不正アクセス」といいます。

不正アクセス禁止法は不正アクセスを取り締まる法律なので、不正アクセスを行うと、処罰の対象となります。

不正アクセス禁止法 ネットワークを介した 直接 不正ログイン 処罰されない

ここで重要なのが、ネットワークを通じた不正アクセスのみが不正アクセス禁止法の処罰の対象となりますので、直接コンピュータを操作し不正にログインを行ったとしても処罰の対象とならない点はしっかりと覚えておきましょう。

不正アクセス禁止法では、直接コンピュータに不正アクセスを行う行為だけでなく、不正アクセスを助長する行為も処罰の対象としていますのでしっかり覚えておきましょう。

具体的に不正アクセス禁止法の対象となるのは

  1. なりすまし行為
  2. セキュリティホールを攻撃する行為
  3. アクセスに必要な情報を不正に要求する行為
  4. 不正アクセスを助長する行為
  5. 不正アクセスをする目的でアクセスに必要な情報を保管する行為

の5つが挙げられます。以下で1つずつ解説していきます。

なりすまし行為

本人の許可を得ずに、不正に入手した他人のIDとパスワードを利用してアクセスする行為を「なりすまし行為」といい、法律で禁止されています。

不正アクセス禁止法 許可なし 他人 ID パスワード なりすまし行為 システム管理者 処罰されない

ただし、システムの管理者等の全ての権限を所有している人物が本人に許可を得ずにアクセスした場合は、処罰の対象となりません。

セキュリティホールを攻撃する行為

不正アクセス禁止法 セキュリティホール

システムのセキュリティ上の弱点であるセキュリティホールを悪用して、不正にアクセスする行為は法律で禁止されています。

アクセスに必要な情報を不正に要求する行為

正式なWebサイトと誤認させるような偽のWebサイトを公開しIDとパスワード等のアクセスに必要な情報を求める、フィッシング行為も法律で禁止されています。

不正アクセス禁止法 アクセスに必要な情報 不正 要求 フィッシングサイト 処罰 個人情報 抜く

フィッシング行為は、入手した情報を利用して実際にアクセスしなくても、情報を取得した時点で処罰の対象となります。

不正アクセスを助長する行為

不正アクセス禁止法 不正アクセス 助長 行為 第三者 教える ID パスワード

本人や管理者の許可を得ずに無断で第三者にIDとパスワードを教える行為は不正アクセスを助長す行為に該当し法律で禁止されています。

不正アクセスをする目的でアクセスに必要な情報を保管する行為

不正アクセス禁止法では、不正アクセスを目的にIDとパスワード等のアクセスに必要な情報を保管する行為も禁止しています。

不正アクセス禁止法 不正アクセス 目的 情報 保管

保管する事を対象としているので、仮に不正アクセスを行わなかったとしても処罰の対象となります。

 

試験対策用まとめ

試験対策用に、今回の記事を以下のようにまとめました。

  • ネットワークを通じた、不正アクセスを行うと不正アクセス禁止法という法律で罰せられる
  • 不正アクセス禁止法では、直接的な不正アクセスだけでなく不正アクセスを助長する行為も処罰の対象になる

今回はこの2点を押さえておきましょう。

 

ITパスポートの過去問で実践

それでは、実際にITパスポート試験で出題された、不正アクセス禁止法に関する問題を解いてみましょう。

平成28年秋期

ネットワークに接続されアクセスが制限されているコンピュータに対して、システムのセキュリティ上の弱点を突いて侵入する行為を規制している法律はどれか。

  • ア 通信傍受法
  • イ 不正アクセス禁止法
  • ウ プロバイダ責任制限法
  • エ マイナンバー法

 

不正アクセス禁止法では利用者は管理者の許可なくネットワークを通じて不正にコンピュータにアクセスする行為を禁止しています。

具体的な処罰の対象となる行為としてシステムのセキュリティ上の弱点である、セキュリティホールを悪用して不正アクセスする行為は処罰の対象となります。

したがって正解は「イ」です。

 

令和2年秋期

情報の取扱いに関する不適切な行為a~cのうち,不正アクセス禁止法で定められている禁止行為に該当するものだけを全て挙げたものはどれか。

a : オフィス内で拾った手帳に記載されていた他人のIDとパスワードを無断で使い,ネットワークを介して自社のサーバにログインし,サーバに格納されていた人事評価情報を閲覧した。

b : 自分には閲覧権限のない人事評価情報を盗み見するために,他人のネットワークIDとパスワードを無断で入手し,自分の手帳に記録した。

c : 部門の保管庫に保管されていた人事評価情報が入ったUSBメモリを上司に無断で持ち出し,自分のPCに直接接続してその人事評価情報をコピーした。

  • ア a
  • イ a, b
  • ウ a, b, c
  • エ b, c

 

aの行為は、許可を得ずに他人のIDとパスワードを使い、ネットワークを介して不正にサーバーにログインを行っている為、不正アクセス禁止法で禁止されている「なりすまし行為」に該当し処罰の対象となります。

bの行為は、不正アクセス禁止法で禁止されている「不正行為を行う目的でアクセスに必要な情報を保管する行為」に該当し処罰の対象となります。

cの行為は、他人のアクセス情報を利用していない事や、USBメモリにはアクセス制御機能が設けられていない事から、不正アクセス禁止法に該当しません。

ただし、USBを無断で持ち出す行為は窃盗罪など別の法律に抵触する可能性があります。

これらの事から、a, b が不正アクセス禁止法に該当する行為となります。

したがって正解は「イ」となります。

 

まとめ

今回は、不正アクセスに関する内容を解説してきました。

不正アクセス禁止法に触れるのはどこからなのかをしっかりと押さえて、ITパスポートで出題される違法行為に関する問題を解けるようにしておきましょう。

 

本記事の中で分からない用語があった方は関連する記事のリンクが貼ってありますのでそちらもご覧になってください。