sg sg-security-management law access_control cybercrime
まず結論
不正アクセス禁止法は、他人のID・パスワードを使った不正ログインや、それを助ける行為を禁止する法律です。
SG試験では、法律名を覚えるだけでなく、次の違いを切り分けられることが大切です。
- 他人のID・パスワードでログインする
- 他人のID・パスワードを不正に取得する
- 他人のID・パスワードを第三者に提供する
- 他人のID・パスワードを不正に保管する
- フィッシングサイトなどで入力させる
特に、「取得」「提供」「保管」「入力要求」の違いがよく問われます。
直感的な説明
不正アクセス禁止法は、簡単にいうと、鍵を盗んで勝手に入ることと、その準備や手助けを禁止する法律です。
たとえば、建物で考えると分かりやすいです。
| 行為 | たとえ |
|---|---|
| 他人のID・パスワードでログインする | 他人の鍵で勝手に部屋に入る |
| ID・パスワードを盗む | 他人の鍵をこっそり手に入れる |
| ID・パスワードを第三者に渡す | 盗んだ鍵を別の人に渡す |
| ID・パスワードを保管する | 盗んだ鍵を隠し持つ |
| 偽サイトで入力させる | 偽の受付で鍵番号を書かせる |
つまり、実際に侵入する行為だけでなく、侵入につながる前段階の行為も規制対象になります。
定義・仕組み
不正アクセス禁止法の正式名称は、不正アクセス行為の禁止等に関する法律です。
この法律では、主に次のような行為が禁止されています。
| 条文 | 禁止される行為 | 試験での見方 |
|---|---|---|
| 3条 | 不正アクセス行為そのもの | 他人のIDでログインする、脆弱性を突いて利用する |
| 4条 | 識別符号を不正に取得する行為 | ID・パスワードを不正に手に入れる |
| 5条 | 不正アクセス行為を助長する行為 | ID・パスワードを第三者に提供する |
| 6条 | 識別符号を不正に保管する行為 | 不正に入手したID・パスワードを保存する |
| 7条 | 識別符号の入力を不正に要求する行為 | フィッシングサイトで入力させる |
ここでいう識別符号とは、利用者を識別するための情報です。
代表例は、次のようなものです。
- 利用者ID
- パスワード
- 認証コード
- その他、本人確認に使われる情報
SG試験では、細かい法律用語よりも、どの行為がどの禁止行為に当たるかを判断できることが重要です。
不正アクセス行為とは?
不正アクセス行為とは、ざっくりいうと、本来使う権限がない機能を、アクセス制御を突破して使えるようにする行為です。
代表的には、次の2パターンがあります。
1. 他人のID・パスワードを使う
他人のID・パスワードを無断で使ってログインする行為です。
たとえば、次のようなものです。
- 他人の社員IDで社内システムにログインする
- 盗んだパスワードでWebサービスにログインする
- 退職者のアカウントを使って業務システムに入る
これは、試験では最もイメージしやすい不正アクセスです。
2. 脆弱性を突いて制限を突破する
ID・パスワードを使わなくても、システムの脆弱性を突いて、制限された機能を使えるようにする行為も不正アクセスに当たります。
たとえば、次のようなものです。
- Webアプリの脆弱性を悪用して管理者機能を使う
- 本来見られないデータを閲覧できる状態にする
- アクセス制御の不備を突いて権限を超えた操作をする
ここで大切なのは、ID・パスワードを使った場合だけが不正アクセスではないという点です。
どんな場面で使う?
不正アクセス禁止法は、インターネットや社内ネットワークを使う場面で関係します。
SG試験では、次のような文脈で出題されやすいです。
- 不正ログイン
- フィッシング
- ID・パスワードの管理
- アカウントの使い回し
- 退職者アカウントの放置
- アクセス制御の不備
- 内部不正
特に、業務上の判断としては、次の観点が大切です。
- ID・パスワードを他人に教えない
- 他人のアカウントを使わない
- 不審なログインを検知できるようにする
- 退職者や異動者のアカウントを速やかに無効化する
- フィッシング対策を行う
- アクセス権限を最小限にする
不正アクセス禁止法は、単に「攻撃者を処罰する法律」としてだけでなく、組織がID管理やアクセス制御を適切に行う必要性ともつながります。
試験で狙われる禁止行為の切り分け
この法律で特に混同しやすいのは、次の4つです。
| キーワード | 判断する行為 | 試験での答え方 |
|---|---|---|
| 取得 | ID・パスワードを手に入れる | 不正取得 |
| 提供 | ID・パスワードを第三者に渡す | 助長行為 |
| 保管 | ID・パスワードを保存する | 不正保管 |
| 要求 | 偽サイトなどで入力させる | 不正要求 |
このように、動詞に注目すると選択肢を切りやすくなります。
例題の整理
今回の例題では、次のように切り分けます。
| 選択肢の内容 | 見るべき動詞 | 該当する行為 |
|---|---|---|
| 正当な理由なくID・パスワードを第三者に提供する | 提供する | 助長行為 |
| フィッシングサイトを開設する | 入力させる | 不正要求 |
| ID・パスワードを不正に入手する | 入手する | 不正取得 |
| 不正に入手したID・パスワードをPCに保管する | 保管する | 不正保管 |
したがって、「不正アクセス行為を助長する行為」を問われたら、第三者に提供する行為を選びます。
よくある誤解・混同
誤解1:不正アクセス禁止法は、不正ログインだけを禁止する法律
これは誤解です。
不正ログインそのものだけでなく、ID・パスワードの不正取得、提供、保管、入力要求なども禁止されています。
試験では、ログインしたかどうかだけで判断しないことが大切です。
誤解2:フィッシングサイトの開設は、助長行為である
フィッシングサイトを開設してID・パスワードを入力させる行為は、助長行為ではなく、識別符号の入力を不正に要求する行為として整理します。
助長行為は、主に他人のID・パスワードを第三者に提供する行為です。
誤解3:ID・パスワードを入手しただけなら問題ない
これも誤解です。
他人のID・パスワードを不正アクセス目的で取得する行為は、実際にログインしていなくても規制対象になります。
試験では、使ったかどうかではなく、取得・保管・提供などの行為自体が問われることがあります。
誤解4:PCに保存しているだけなら不正アクセスではないので無関係
実際にログインしていなくても、不正に入手したID・パスワードを保管する行為は、別の禁止行為として規制されます。
そのため、選択肢に「保管する」と出たら、不正保管を疑います。
SG試験での判断基準
SG試験では、次の順番で読むと判断しやすくなります。
1. 実際にログイン・利用したか
他人のID・パスワードを使ってログインしていれば、まず不正アクセス行為そのものを疑います。
2. ID・パスワードを手に入れたか
「入手」「取得」とあれば、不正取得を疑います。
3. 第三者に渡したか
「提供」「教える」「渡す」とあれば、助長行為を疑います。
4. 保存しているか
「保管」「保存」とあれば、不正保管を疑います。
5. 入力させようとしているか
「フィッシング」「偽サイト」「入力させる」とあれば、不正要求を疑います。
まとめ(試験直前用)
不正アクセス禁止法は、不正ログインだけでなく、その準備や手助けも禁止する法律です。
試験直前は、次の3点を押さえておきましょう。
- ログインしたら、不正アクセス行為そのもの
- 第三者にID・パスワードを渡したら、助長行為
- 取得・保管・入力要求は、それぞれ別の禁止行為
特に、選択肢では「何をしたか」という動詞を見ます。
| 動詞 | 判断 |
|---|---|
| ログインする・利用する | 不正アクセス |
| 入手する・取得する | 不正取得 |
| 提供する・教える | 助長行為 |
| 保管する・保存する | 不正保管 |
| 入力させる・要求する | 不正要求 |
この整理ができると、不正アクセス禁止法の問題はかなり解きやすくなります。
確認問題
不正アクセス禁止法において、不正アクセス行為を助長する行為として最も適切なものはどれか。
ア. 正当な理由なく、他人の利用者IDとパスワードを第三者に提供する。
イ. 他人の利用者IDとパスワードを不正に入手する目的で、フィッシングサイトを開設する。
ウ. 不正アクセスを目的として、他人の利用者IDとパスワードを不正に入手する。
エ. 不正アクセスを目的として、不正に入手した他人の利用者IDとパスワードをPCに保管する。
回答と解説
正解は、**ア**です。 「第三者に提供する」という行為は、他人が不正アクセスできる状態を作るため、**不正アクセス行為を助長する行為**に当たります。 イは、識別符号の入力を不正に要求する行為です。 ウは、識別符号を不正に取得する行為です。 エは、識別符号を不正に保管する行為です。 この問題は、選択肢の動詞を見ると切り分けやすいです。 - 提供する → 助長行為 - 入手する → 不正取得 - 保管する → 不正保管 - 入力させる → 不正要求参考
- e-Gov法令検索「不正アクセス行為の禁止等に関する法律」
- https://laws.e-gov.go.jp/law/411AC0000000128