最終更新日:2026年5月18日
sg sg-security-management law access_control cybercrime
まず結論
不正アクセス行為とは、本来使う権限がないシステムや機能を、アクセス制御を突破して使える状態にする行為です。
SG試験では、主に次の2つで整理すると分かりやすいです。
- 他人のID・パスワードを使ってログインする
- 脆弱性などを突いて、アクセス制御を突破する
つまり、不正アクセス行為は、単なる「悪い操作」ではなく、アクセス制御で守られている領域に、不正な方法で入ることがポイントです。
直感的な説明
不正アクセス行為は、建物でいえば、入る権利がない部屋に、勝手に入る行為です。
| システムでの行為 | 建物でのたとえ |
|---|---|
| 他人のID・パスワードでログインする | 他人の鍵で勝手に部屋に入る |
| 脆弱性を突いて管理画面を使う | 壊れた裏口から入る |
| 権限のないデータを見る | 立入禁止の部屋を見る |
| 管理者機能を勝手に使う | 管理者用の部屋を無断で使う |
大切なのは、入口を突破したかどうかです。
ID・パスワードを盗んで使う場合も、システムの弱点を突く場合も、本来入れない場所に入る点では同じです。
定義・仕組み
e-Gov法令: 不正アクセス行為の禁止等に関する法律:e-Gov法令: 不正アクセス行為の禁止等に関する法律 不正アクセス禁止法では、不正アクセス行為として、大きく次のような行為が定められています。
| 種類 | 内容 | 試験での見方 |
|---|---|---|
| なりすまし型 | 他人の識別符号を使ってアクセスする | 他人のID・パスワードでログインする |
| セキュリティホール型 | アクセス制御機能の制限を免れて利用する | 脆弱性を突いて本来使えない機能を使う |
ここでいう識別符号は、ID・パスワードなどの認証情報と考えると分かりやすいです。
また、アクセス制御機能とは、利用できる人や機能を制限する仕組みです。
たとえば、次のようなものです。
- ログイン画面
- パスワード認証
- 多要素認証
- 権限設定
- 管理者権限の制限
- アクセス権限による画面表示の制御
不正アクセス行為は、これらの制限を不正に突破する行為です。
不正ログイン型の不正アクセス
最もイメージしやすいのは、他人のID・パスワードを使ってログインする行為です。
たとえば、次のようなケースです。
- 他人の社員IDとパスワードで社内システムに入る
- 盗んだパスワードでクラウドサービスにログインする
- 退職者のアカウントを使って業務システムに入る
- 共有されていない管理者IDを勝手に使う
ポイントは、自分に利用権限がない識別符号を使っていることです。
たとえシステム上はログインに成功しても、正当な利用ではありません。
アクセス制御突破型の不正アクセス
不正アクセス行為は、ID・パスワードを使う場合だけではありません。
システムの脆弱性などを突いて、本来使えない機能を使えるようにする行為も不正アクセス行為に当たります。
たとえば、次のようなケースです。
- URLを書き換えて、本来見られない管理画面を開く
- Webアプリの脆弱性を悪用して権限を上げる
- アクセス制御の不備を突いて他人の情報を閲覧する
- 認証を回避して制限された機能を使う
ここで大切なのは、パスワードを使っていなくても、不正アクセスになる場合があるという点です。
SG試験では、
不正アクセス = 他人のID・パスワードでログインすることだけ
と考えると、ひっかけに弱くなります。
どんな場面で使う?
不正アクセス行為は、次のような場面で問題になります。
- 社内システムへの不正ログイン
- クラウドサービスへの不正ログイン
- ECサイトや会員サイトへのなりすましログイン
- 管理画面への不正アクセス
- VPNアカウントの不正利用
- 脆弱性を突いた権限昇格
- 退職者アカウントの悪用
SG試験では、攻撃手法そのものよりも、組織としてどう防ぐかも重要です。
たとえば、次の対策とつながります。
- パスワード管理
- 多要素認証
- アカウント管理
- 退職者アカウントの削除
- 最小権限の原則
- アクセスログの監視
- 脆弱性管理
- セキュリティパッチの適用
不正アクセス行為は、アクセス制御・認証・ログ管理・脆弱性対策とまとめて理解すると、試験で判断しやすくなります。
不正アクセス行為と関連行為の違い
不正アクセス禁止法では、不正アクセス行為そのもの以外にも、関連する行為が禁止されています。
ここが試験でよくひっかけられるところです。
| 行為 | 何をしているか | 判断 |
|---|---|---|
| 他人のID・パスワードでログインする | 実際に使う | 不正アクセス行為 |
| 他人のID・パスワードを不正に入手する | 手に入れる | 不正取得 |
| 他人のID・パスワードを第三者に提供する | 渡す | 助長行為 |
| 不正に入手したID・パスワードを保管する | 保存する | 不正保管 |
| 偽サイトでID・パスワードを入力させる | 入力を求める | 不正要求 |
不正アクセス行為そのものかどうかは、実際にアクセス制御を突破して利用したかを見ると判断しやすいです。
よくある誤解・混同
誤解1:不正アクセスは、パスワードを盗んだ時点で成立する
パスワードを盗む行為は、主に不正取得として整理します。
不正アクセス行為そのものは、盗んだID・パスワードを使ってログインするなど、アクセス制御を突破して利用する段階です。
つまり、
- 手に入れる → 不正取得
- 使って入る → 不正アクセス行為
と切り分けます。
誤解2:正しいID・パスワードでログインできれば不正ではない
これも誤解です。
入力したID・パスワードが正しくても、それが他人の識別符号であり、正当な権限なく使っていれば不正アクセス行為になり得ます。
システムがログインを許可したかどうかではなく、正当な利用権限があるかが重要です。
誤解3:脆弱性を突く場合は、不正アクセスではなく別の攻撃である
脆弱性を突いてアクセス制御を回避し、本来使えない機能を使える状態にする行為も、不正アクセス行為として扱われる場合があります。
不正アクセスは、ID・パスワードだけでなく、アクセス制御突破という観点で見る必要があります。
誤解4:社内の人なら不正アクセスにはならない
社内の人であっても、権限のないシステムや機能に不正にアクセスすれば問題になります。
SG試験では、外部攻撃だけでなく、内部不正の文脈でも不正アクセスを考えます。
まとめ(試験直前用)
不正アクセス行為は、アクセス制御を不正に突破して、システムや機能を利用する行為です。
試験直前は、次の3点を押さえておきましょう。
- 他人のID・パスワードでログインしたら、不正アクセス行為を疑う
- 脆弱性を突いて制限を突破する場合も、不正アクセス行為になり得る
- 入手・提供・保管・入力要求は、不正アクセス行為そのものとは別に整理する
特に、選択肢では次のように切り分けます。
| 問題文の表現 | 判断 |
|---|---|
| 他人のID・パスワードでログインする | 不正アクセス行為 |
| ID・パスワードを入手する | 不正取得 |
| ID・パスワードを第三者に渡す | 助長行為 |
| ID・パスワードを保存する | 不正保管 |
| 偽サイトで入力させる | 不正要求 |
不正アクセス行為は、実際に入った・使ったかを軸に判断すると整理しやすくなります。
判断軸の再確認(確認問題の前に)
- 目的を先に見る:この対策・用語は「予防」「検知」「対応」のどこを担うか。
- 対象を切り分ける:ネットワーク/端末/利用者/運用手順のどこに効くか。
- 選択肢の言い過ぎに注意:「必ず」「完全に」「不要になる」といった断定は誤りになりやすい。
確認問題
不正アクセス禁止法における不正アクセス行為として、最も適切なものはどれか。
ア. 他人のID・パスワードを不正アクセス目的で入手する。
イ. 他人のID・パスワードを第三者に提供する。
ウ. 他人のID・パスワードを使って、正当な権限なくシステムにログインする。
エ. 偽サイトを開設して、利用者にID・パスワードを入力させる。
回答と解説
正解は、**ウ**です。 他人のID・パスワードを使って、正当な権限なくシステムにログインする行為は、不正アクセス行為に当たります。 アは、識別符号を不正に取得する行為です。 イは、不正アクセス行為を助長する行為です。 エは、識別符号の入力を不正に要求する行為です。 この問題は、**実際にログインして利用したか**を見ると判断しやすいです。参考
- e-Gov法令検索「不正アクセス行為の禁止等に関する法律」
- https://laws.e-gov.go.jp/law/411AC0000000128