ITパスポート試験 用語辞典
本法において認定される不正アクセス行為とは、以下の4つの要件すべてを満たすものである。
- コンピュータ・ネットワークに接続されているコンピュータに対して行われたものであること
- コンピュータ・ネットワークを通じて行われたものであること
- 他人の識別符号またはアクセス制御機能による特定利用の制限を免れることができる情報または指令が入力されたものであること
- アクセス制御機能によって制限されている特定利用をすることができる状態にさせたもの(一部のセキュリティ・ホール攻撃のように、特定利用をすることができる状態に止まらず、特定利用をしてしまう行為をも含む。)であること
(Wikipedia 不正アクセス行為の禁止等に関する法律より)不正アクセス行為の禁止等に関する法律(ふせいアクセスこういのきんしとうにかんするほうりつ、平成11年8月13日法律128号)は、インターネット等のコンピュータネットワーク等での通信において、不正アクセス行為とその助長行為を規制する日本の法律。略称は不正アクセス禁止法など。
1999年(平成11年)8月13日公布、2000年(平成12年)2月13日施行。最近改正は2013年(平成25年)5月31日で、施行も同日。以下、本法については条数のみを記載する。
構成
- 第1条(目的)
- 第2条(定義)
- 第3条(不正アクセス行為の禁止)
- 第4条(他人の識別符号を不正に取得する行為の禁止)
- 第5条(不正アクセス行為を助長する行為の禁止)
- 第6条(他人の識別符号を不正に保管する行為の禁止)
- 第7条(識別符号の入力を不正に要求する行為の禁止)
- 第8条(アクセス管理者による防御措置)
- 第9条(都道府県公安委員会による援助)
- :不正アクセス行為が行われたと認められる場合において、援助を受けたい旨の申出があり、その申出を相当と認めるときは、必要な資料の提供、助言、指導その他の援助を行うものとする。
- 第10条(国による広報啓発活動)
- 第11条(罰則)
- 第12条(罰則)
- 第13条(罰則)
- 第14条(罰則)
概要
目的は、不正アクセス行為の禁止とともに、その罰則及びその再発防止のための都道府県公安委員会による援助措置等を定め、電気通信回線を通じて行われる電子計算機に係る犯罪防止及びアクセス制御機能により実現される電気通信に関する秩序維持を図り、もって高度情報通信社会の健全な発展に寄与することである(1条)。
本法の処罰対象は故意犯であり、過失犯は対象外である。また、未遂犯も対象外である。
不正アクセス行為の禁止、処罰
何人も、不正アクセス行為をしてはならない(3条)。これに違反した者は、3年以下の懲役又は100万円以下の罰金に処せられる(11条)。不正アクセス行為とは以下の行為である(2条4項)。
- 電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号(パスワード・生体認証など)を入力し、アクセス制御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にする行為 (1号)
- 電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為 (2号)
- 電気通信回線を通じて、アクセス制御機能を持つ他の電子計算機により制限されている電子計算機にアクセスし、識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為 (3号)
ACCS裁判
ACCS裁判の判決によると、Webサーバーへのファイルアクセスに通常は認証機能のあるFTPを用いている場合、認証機能の備わっていないHTTP(CGIの脆弱性を利用)経由でアクセスした場合は、通常想定されている認証機能を迂回したとして不正アクセス行為に当たる、としている。プロトコルごとに認証機能の有無を判断するのではなく、管理者の想定している通常のアクセス行為により考えるべきとしている。
(なお脆弱性とされたHTTP経由によるファイルへのアクセスはCGIの引数にファイル名を指定する形式であり、これはCGIの一般的なつくりでパラメータとして任意の文字列を指定可能である。)
他人の識別符号を不正に取得する行為の禁止、処罰
不正アクセス行為の用に供する目的で、他人の識別符号(パスワード等)を取得してはならない(4条)。違反者は1年以下の懲役又は50万円以下の罰金に処せられる(12条1号)。
平成24年改正で新たに禁止された。
不正アクセス行為を助長する行為の禁止、処罰
何人も、業務その他正当な理由による場合を除いては、他人の識別符号(パスワード等)を、アクセス管理者及び利用権者以外の者に提供してはならない(5条)。違反者は1年以下の懲役又は50万円以下の罰金に処せられる(12条2号)。
平成24年改正で、どの特定電子計算機の特定利用に係るものであるかが明らかでない識別符号を提供する行為も新たに禁止された。
他人の識別符号を不正に保管する行為の禁止、処罰
何人も、不正アクセス行為の用に供する目的で、不正に取得された他人の識別符号を保管してはならない(6条)。違反者は1年以下の懲役又は50万円以下の罰金に処せられる(12条3号)。
平成24年改正で新たに禁止された。
識別符号の入力を不正に要求する行為の禁止、処罰
フィッシングサイト構築(7条1号)と電子メール送信(7条2号)によるフィッシング行為を禁止する。違反者は1年以下の懲役又は50万円以下の罰金に処せられる(12条4号)。
平成24年改正で新たに禁止された。
アクセス管理者による防御措置
アクセス管理者は、以下の措置を行う努力義務がある(8条)。罰則はない。
- 識別符号等の適切な管理
- アクセス制御機能の検証および高度化
- その他不正アクセス行為から防御するために必要な措置
出題例
「セキュリティ関連法規」の用語
「法務」の他の分野
「ストラテジ系」の他のカテゴリ
このページのWikipediaよりの記事は、ウィキペディアの「不正アクセス行為の禁止等に関する法律」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。
Pagetop