不正アクセス禁止法とは?禁止行為・罰則と義務や具体的な対策を解説
目次
不正アクセス禁止法は、不正アクセス行為やそれを助長する行為全般の禁止・罰則に加え、予防・再発防止のための義務を定めた法律です。自社の情報資産を守るだけでなく、CSR(企業の社会的責任)を果たすという意味でも、不正アクセス対策を法律の面から考えることが求められます。
不正アクセス禁止法をどのように理解すべきか、詳しく知りたい方もいるのではないでしょうか。そこでこの記事では、不正アクセス禁止法が定める禁止行為とアクセス管理者側の義務について紹介します。
不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)とは?
不正アクセス禁止法は不正アクセスの禁止・罰則と予防・再発防止の義務を定めています。この法律における「不正アクセス」の要件は4つです。要件を満たすものを不正アクセスとし、その行為自体や助長する行為全般を規制しています。まずは法律の概要の他、条文によく登場する「特定電子計算機」や「識別符号」の意味も理解しておきましょう。
不正アクセスの禁止・罰則と予防・再発防止の義務を定めた法律
不正アクセス禁止法とは、不正アクセス行為の禁止・罰則に関する規定と、その予防・再発防止に関する義務を定めた法律です。正式名称は「不正アクセス行為の禁止等に関する法律」で、2000年2月から施行(2012年5月に改正)されています。
禁止および罰則(懲役や罰金)の規定があるのは、ネットワーク(インターネットやLANなど)を通じて行われる不正アクセスに関する行為全般です。不正アクセス行為そのものの他、不正アクセスを目的とした認証情報(ID・パスワード・生体認証情報など)の不正取得および保管行為、不正アクセスを助長する行為を禁止します。
義務の規定があるのは、アクセス管理者・都道府県公安委員会・国によるセキュリティ対策や援助・啓発です。不正アクセスに関する禁止・罰則および予防・再発防止の義務の定めにより、犯罪の防止およびアクセス制御機能により実現される秩序を維持し、高度情報通信社会の発展に寄与することを目的とします。
「不正アクセス」の要件は4つ
不正アクセス禁止法における「不正アクセス」とは、以下4つの要件全てを満たす行為です。
1.ネットワーク(インターネット・LANなど)に接続されているコンピュータ(PC・サーバ・スマホなど)に対して行う
2.ネットワークを通じて行う
3.他人の認証情報またはアクセス制御機能を回避する情報(ソフトウェアの脆弱性を攻撃するコードなど)を入力する
4.アクセス制御機能によって制限された機能を利用できるようにする
つまり認証システムなどで利用者制限をかけた業務システム・Webサービスなどに対し、不正取得した認証情報をネットワーク経由で入力するかハッキングし、機能を不正操作する行為です。
「他人のスマホを直接盗み見る」「正規利用者である従業員が業務に必要な情報を持ち出す」などの行為は、2や3の要件を満たさないため、不正アクセスをしたとはみなされません。ただし、後述するように認証情報の取り扱いなどによっては違法です。規制される行為はビジネス・プライベートを問いません。
「特定電子計算機」と「識別符号」とは何か
不正アクセス禁止法の条文には「特定電子計算機」や「識別符号」といった、日常的に聞き慣れない用語が頻繁に登場します。これらの意味は以下の通りです。
・特定電子計算機:電気通信回線(インターネット・音声電話回線・専用回線・社内LANなど)に接続されたコンピュータ(PC・メールサーバ・Webサーバなど)
・識別符号:正規利用者とその他の利用者を区別する符号(認証情報)。ID・パスワード、生体認証情報(音声・指紋・虹彩・網膜など)、署名(電子サインなど)、およびそれらを組み合わせたユーザーIDや利用者番号
つまり、自宅や社内で通信可能な状態に置かれたデジタルデバイスだけでなく、Webブラウザなど各種アプリから利用するWebサービスの認証情報も、不正アクセスの範疇に含めます。
【関連記事:サイバーセキュリティとは?サイバー攻撃の具体例、対策の施策例を解説】
不正アクセス禁止法で禁止される行為と罰則
不正アクセス禁止法において最も罰則が重い行為は、不正アクセス行為そのものです。また認証情報の不正取得・伝達・保管・入力要求にも禁止・罰則の規定があります。要は不正アクセスの蓋然性を高める行為全般が規制対象です。ここでは、禁止される5種類の行為および罰則を解説します。
不正アクセス行為自体の禁止(不正アクセス罪)
本来アクセス権限を持たない他人が、アクセス制御機能のあるPC・サーバ・Webサービスなどに対し、ネットワーク経由で不正アクセスする行為は禁止されています。
他人の認証情報を悪用した「なりすまし」だけでなく、認証情報を用いずシステムのセキュリティホール(脆弱性/セキュリティ上の欠陥)を悪用してアクセス制御機能を回避する行為も、不正アクセス行為として禁止対象です。
テレワーク導入企業はVPNサーバのハッキングなどが問題視されています。Webサイトの改ざん、ウイルスの埋め込みなど、不正アクセスの被害は多種多様です。
不正アクセス罪の罰則が最も重く、違反すると3年以下の懲役、または100万円以下の罰金に処せられます。
他人のパスワードなどの不正取得の禁止(不正取得罪)
不正アクセスに用いることを目的として、認証情報を不正取得する行為も禁止されています。この行為は不正アクセスの準備段階に当たるため、不正取得の手段は問いません。
例えば、システム管理者のふりをしてサービスベンダーなどに電話をかけ、認証情報を聞き出す行為は禁止です。権限のない従業員が、社内のファイルサーバに保存されているID・パスワードの一覧表を閲覧・持ち出し・印刷する行為も同様です。
この禁止規定に違反すると、1年以下の懲役、または50万円以下の罰金に処せられます。
正当な理由がない認証情報伝達の禁止(不正助長罪)
他人の認証情報を知っている者が、本来知る権利のない者へその認証情報を伝達(提供)する行為は、不正アクセスを助長するため禁止です。
例えば、従業員だけに共有された情報システムへのログイン情報を、システム管理者が想定していない社外人材に提供するのは違法です。
この行為は不正アクセスの準備段階に当たるため、伝達の方法は問いません。口頭伝達やWeb上への公開、電子取引による販売など、どのような伝達方法であっても禁止されます。
相手が不正アクセスに使用することを知りながら提供した場合、罰則は1年以下の懲役、または50万円以下の罰金です。単に他人の認証情報を無断で提供しただけでも、30万円以下の罰金に処せられます。
不正アクセスのための認証情報保管の禁止(不正保管罪)
不正アクセスを目的として、不正取得された他人の認証情報を保管する行為も禁止です。
例えば、伝達されるなどして取得した他人の認証情報を、PC・スマホやUSBメモリなどに保存しておく行為が該当します。不正アクセスに悪用されると想定される認証情報を、保管しておくこと自体が罰則の対象になります。保管方法は問わないため、紙にメモしておくだけでも違反です。
この禁止規定に違反すると、1年以下の懲役、または50万円以下の罰金に処せられます。
不正な認証情報の入力要求の禁止(不正入力要求罪)
アクセス管理者になりすまし、認証情報を入力することを不正に要求する行為も禁止です。ただし、アクセス管理者の承諾がある場合は対象外です。
例えば、有名な銀行の公式サイトなどを偽装したフィッシングサイトを公開したり、メールやSMSでフィッシングメールを送信したりする行為は認められません。
認証情報の入力要求が許容されるのは、システムの利用権を誰に付与するかを決定する権限を持つ者(アクセス管理者)の承諾がある場合のみです。
この禁止規定に違反した場合、1年以下の懲役、または50万円以下の罰金に処されます。
不正アクセス禁止法が定める予防・再発防止の義務
不正アクセス禁止法は秩序の維持と高度情報通信社会の発展を目的するため、不正アクセスの予防・再発防止の義務も定めています。罰則はないものの、アクセス管理者による防御措置は努力義務です。また都道府県公安委員会による援助、大臣や国による情報公開や啓発に関する規定もあります。
アクセス管理者による防御措置
アクセス管理者は、システムを不正アクセスから防御するために、以下のような措置を講じることが求められます。
・認証情報を適切に管理する
・常にアクセス制御機能の有効性を検証する
・必要に応じて速やかにアクセス制御機能の高度化などの措置を講じる
ただしこれらは努力義務で、罰則規定はありません。具体的な対策方法は後述します。
都道府県公安委員会による援助
不正アクセスを受けたアクセス管理者は、都道府県公安委員会に対して再発防止のために援助を申し出て、資料の提供・助言・指導などを受けることができます。
都道府県公安委員会は援助を行うに当たり、信用性の高い企業などに事例分析を委託することが可能です。事例分析の従事者には秘密保持義務を課し、違反者は、1年以下の懲役または50万円以下の罰金に処せられます。
不正アクセス禁止法の定める援助規定とは別に、「IPA情報セキュリティ安心相談窓口」や各都道府県の「サイバー犯罪相談窓口」など、各種窓口に情報セキュリティ被害の相談をすることも可能です。
大臣や国による情報公開や啓発
自治体レベルだけでなく国家レベルでも以下の規定があります。
・国家公安委員会・総務大臣・経済産業大臣は毎年少なくとも1回、不正アクセスの発生状況やアクセス制御機能に関する技術の研究開発の状況を公表する
・国家公安委員会・総務大臣・経済産業大臣は情報セキュリティ関連事業団体に対し、必要な情報の提供や援助を行うよう努める
・国は、不正アクセスの防御に関する啓発および知識の普及に努める
不正アクセスをさせない具体策
不正アクセス禁止法において、アクセス管理者は不正アクセスの予防・再発防止に資する防御措置を講じることが努力義務とされています。具体的な対策は、認証情報の管理や高セキュアなクラウドサービスの利用、情報セキュリティ教育の実施などです。
認証情報の管理
ID・パスワードや生体認証情報を適切に管理しつつ、一部の認証情報が漏えいしても、被害を最小限に抑える仕組みを構築することが重要です。以下のような対策を講じましょう。
・ID・パスワードは英数字・大文字小文字・記号を組み合わせ、少なくとも10桁以上にし、複雑かつ類推できないものにする
・失敗回数に応じて試行をロックアウトさせる機能を取り入れる
・パスワードの使い回しは禁止する(1つのログイン情報でシステム全体にアクセスさせない)
・不要になった認証情報は速やかに削除する
・認証情報へのアクセスや持ち出しに厳格なルールを定める
・定期的に認証情報を更新する
・継続的に認証システムをアップデートする
高セキュアなクラウドサービスの利用
自社リソースのみで不正アクセス対策をしようとするのではなく、高セキュアなクラウドサービスの利用も検討しましょう。
多様化・巧妙化するサイバー攻撃に自社リソースで対応するには、高度な知識・スキルを持った人材および継続的なコスト投下が必要です。外部からの侵入だけでなく、内部犯に留意することも求められます。
特に不正アクセスの手口として高リスクと認知されているものは、VPNサーバの脆弱性を狙ったサイバー攻撃です。VPNサーバは社内外ネットワークの境界に設置されるため、リモートアクセス環境には企業全体を危険にさらす潜在的なリスクがあります。
クローズドな環境で運用されているように見えるオンプレミス型の情報システムも、常に不正アクセスのリスクにさらされているため、多要素認証・アクセス権限設定・ログ監査などを取り入れたクラウドサービスを利用するのが経済的です。
【関連記事:クラウドサービスとは?種類・例・メリットや活用のポイントを解説】
情報セキュリティ教育の実施
認証情報の管理やシステムのクラウド化に加え、従業員向けに情報セキュリティ教育を実施することも重要です。
例えば不正アクセス禁止法はフィッシング行為を禁止していますが、従業員は社内外からインターネット接続する際、意図せずフィッシング詐欺の被害に遭う恐れがあります。
管理者側がコントロールしにくい部分で人為ミスによる情報漏えいを起こし、結果的に不正アクセス被害のリスクを増大させかねないことは対策すべきです。
認証情報の管理体制や情報システムの刷新などに合わせ、セキュリティポリシーの更新および情報セキュリティ教育を実施しましょう。
不正アクセス禁止法に対応するクラウドサービスはイッツコム!
信頼できるクラウドサービスを運用することは、不正アクセスの予防・再発防止のために重要です。イッツコムはセキュリティ重視の容量無制限クラウドストレージ「Box」や、営業関連情報の安全な一元管理と活用ができる「ホットプロファイル」を提供しています。
セキュリティ重視の容量無制限クラウドストレージ「Box」
社内LAN内のファイルサーバやオンプレミス型業務システムで管理するファイル・データは、常に不正アクセスおよび情報漏えいの脅威にさらされており、対策も困難です。
各国の政府機関や多数のリーダー企業も採用する「Box」なら、世界最高峰のセキュリティを誇る容量無制限のクラウドストレージにより、あらゆる情報資産を安全に一元管理できます。
多要素認証や7段階のアクセス権限設定、70種類以上のログ監査など豊富なセキュリティ機能を備え、リモートアクセスよりも利便性・安全性の高い情報共有の仕組みを構築可能です。
「Box Shield」による操作ミスおよび悪意のある操作を予防するセーフガード機能や、ディープラーニングベースの脅威検知、「Box KeySafe」による暗号化キーの独立制御など、セキュリティ機能の高度化にも対応できます。
管理者・ユーザーが直感的に利用できるシンプルなインターフェース・操作性も強みです。自社でサーバ設備を抱える必要もなくなり、高額な設備投資や運用保守体制の悩みから解放されます。
営業関連情報の安全な一元管理と活用「ホットプロファイル」
営業組織は顧客の個人情報や契約関連情報などを扱い、営業担当者は社外での移動も多いため、不正アクセス・情報漏えいリスクは十分に検討することが必要です。
クラウド型の名刺管理・営業支援ツール「ホットプロファイル」なら、名刺情報や案件・商談履歴、顧客とのやりとりなどを、安全なクラウド上で一元管理できます。
「いまホットな顧客」の自動通知やオンライン営業報告など、営業組織が必要とする機能を社内外のどこからでも利用できることも魅力です。
ホットプロファイルは、NASA・米国国防省・日本政府などのシステムに採用されるAWSのプラットフォーム上で提供します。
デバイス認証にも対応し、スマホ紛失時にはリモートロック/ワイプもできるため、不正アクセス・情報漏えいのリスクを抑えられることもポイントです。
まとめ
不正アクセス禁止法は、ネットワーク経由の不正アクセス行為そのものの他、認証情報の不正取得・伝達・保管・入力要求も規制します。またこういった行為の予防・再発防止のために、アクセス管理者による防御措置の義務も定めるものです。
不正アクセス行為の被害から自社を守るだけでなく、企業の社会的責任を果たすという意味でも、不正アクセス対策が求められています。
イッツコムは「Box」や「ホットプロファイル」により、不正アクセス対策と業務効率化の両立をサポート可能です。不正アクセス対策をお求めなら、関連サービスの一括導入にも対応できるイッツコムにご相談ください。
