2.2. 不正アクセス禁止法

<< 2.1. サイバーセキュリティ基本法

1. 概要

 不正アクセス禁止法(正式名称:不正アクセス行為の禁止等に関する法律)は、コンピュータネットワークへの不正な侵入行為やアクセス制御機能を侵害する行為を禁止し、処罰する法律です。2000年に施行されたこの法律は、インターネットの普及に伴い増加したサイバー犯罪に対応するために制定されました。

 従来の刑法では、データの改ざんや消去などの結果として生じた被害に対する処罰が中心でしたが、不正アクセス禁止法は、ネットワークへの侵入行為そのものを犯罪として規定している点が大きな特徴です。つまり、実際に被害が発生していなくても、他人のIDやパスワードを使用してシステムに侵入する行為自体が処罰の対象となります。この法律により、サイバー空間における秩序の維持と、電気通信の健全な発展が図られています。

2. 詳細説明

2.1 不正アクセス行為の定義

 不正アクセス禁止法では、「不正アクセス行為」を以下のように定義しています。第一に、他人の識別符号(IDやパスワード)を無断で入力してコンピュータを利用する行為です。第二に、アクセス制御機能による制限を免れる情報や指令を入力して、本来利用できない状態のコンピュータを利用可能にする行為です。

 具体的には、他人のパスワードを盗用してメールサーバーにログインする、セキュリティホールを悪用してWebサーバーに侵入する、などの行為が該当します。重要なのは、これらの行為が「アクセス制御機能により制限されている」コンピュータに対して行われることです。

graph TB
    A[不正アクセス行為の類型と処罰]
    
    A --> B[不正アクセス行為]
    A --> C[不正取得]
    A --> D[不正提供・保管]
    
    B --> B1[他人の識別符号を無断入力]
    B --> B2[アクセス制御機能を回避]
    B1 --> B1a[例: 他人のID・パスワードでログイン]
    B2 --> B2a[例: セキュリティホールを悪用]
    B --> B3[罰則: 3年以下の懲役または100万円以下の罰金]
    
    C --> C1[識別符号の不正取得]
    C --> C2[フィッシング行為]
    C1 --> C1a[例: パスワードの盗取]
    C2 --> C2a[例: 偽サイト作成・詐欺メール送信]
    C --> C3[罰則: 1年以下の懲役または50万円以下の罰金]
    
    D --> D1[識別符号の不正提供]
    D --> D2[不正アクセス行為の助長]
    D1 --> D1a[例: 他人のパスワードを第三者に提供]
    D2 --> D2a[例: ハッキングツールの配布]
    D --> D3[罰則: 1年以下の懲役または50万円以下の罰金]
    
    style A fill:#f9f,stroke:#333,stroke-width:4px
    style B fill:#bbf,stroke:#333,stroke-width:2px
    style C fill:#bbf,stroke:#333,stroke-width:2px
    style D fill:#bbf,stroke:#333,stroke-width:2px
    style B3 fill:#fbb,stroke:#333,stroke-width:2px
    style C3 fill:#fbb,stroke:#333,stroke-width:2px
    style D3 fill:#fbb,stroke:#333,stroke-width:2px

2.2 禁止行為と罰則

 不正アクセス禁止法では、以下の行為が禁止されています。

 第一に、不正アクセス行為そのものが禁止され、3年以下の懲役または100万円以下の罰金が科されます。第二に、他人の識別符号を不正に取得する行為も禁止されており、1年以下の懲役または50万円以下の罰金となります。第三に、不正アクセス行為を助長する行為、例えば他人のIDやパスワードを第三者に提供する行為も処罰対象となり、1年以下の懲役または50万円以下の罰金が科されます。

 また、フィッシング行為に関する規定も追加されており、他人の識別符号を不正に取得する目的で、偽のWebサイトを作成したり、電子メールを送信したりする行為も処罰の対象となっています。

2.3 刑法との違い

 刑法と不正アクセス禁止法の最も大きな違いは、処罰対象となる行為の性質にあります。刑法では、電子計算機損壊等業務妨害罪や電子計算機使用詐欺罪など、実際に業務妨害や詐欺という結果が生じた場合に処罰されます。一方、不正アクセス禁止法は、ネットワークへの侵入行為自体を処罰対象としており、実害の有無を問いません。

 この違いにより、不正アクセス禁止法は「予防的」な性格を持ち、サイバー犯罪の初期段階での取り締まりを可能にしています。

3. 実装方法と応用例

3.1 企業における対策

 企業は不正アクセス禁止法を踏まえ、様々なセキュリティ対策を実装しています。まず、アクセス制御の強化として、多要素認証の導入が進んでいます。パスワードだけでなく、生体認証やワンタイムパスワードを組み合わせることで、不正アクセスのリスクを大幅に低減できます。

 また、ログ管理システムの導入により、不正アクセスの早期発見が可能となっています。異常なアクセスパターンを検知した場合、即座にアラートを発する仕組みを構築している企業も増えています。

企業の多層防御セキュリティアーキテクチャ

企業ネットワーク

外部ネットワーク

DMZ

内部ネットワーク

インターネット

ファイアウォール

WAF

IDS/IPS

Webサーバー

メールサーバー

内部FW

認証サーバー (多要素認証)

SIEM

アプリケーション サーバー

ログ管理 サーバー

データベース サーバー

バックアップ サーバー

エンドポイント保護 (EDR/アンチウイルス)

社内ユーザー端末

セキュリティポリシー管理 (アクセス制御・監査)

3.2 最近の事例と傾向

 近年、不正アクセス禁止法違反で摘発される事例が増加しています。特に目立つのは、退職者による元勤務先システムへの不正アクセスです。在職中に知り得たIDやパスワードを使用して、退職後に会社のシステムに侵入し、情報を窃取したり改ざんしたりする事例が報告されています。

graph TD
    A[不正アクセス検知] --> B{初動対応開始}
    B --> C[システム隔離]
    B --> D[ログ収集開始]
    
    C --> E[証拠保全]
    D --> E
    
    E --> F[被害状況調査]
    E --> G[ログ解析]
    E --> H[影響範囲特定]
    
    F --> I{証拠保全完了}
    G --> I
    H --> I
    
    I --> J[警察への通報準備]
    J --> K[被害届提出]
    J --> L[証拠資料提供]
    
    K --> M[捜査協力]
    L --> M
    
    M --> N[原因分析]
    N --> O[脆弱性特定]
    N --> P[侵入経路解明]
    
    O --> Q[再発防止策検討]
    P --> Q
    
    Q --> R[セキュリティ強化]
    Q --> S[監視体制見直し]
    Q --> T[教育研修実施]
    
    R --> U[対策実施]
    S --> U
    T --> U
    
    U --> V[報告書作成]
    V --> W[経営層報告]
    V --> X[関係者周知]
    
    W --> Y[対応完了]
    X --> Y

 また、ソーシャルエンジニアリングと呼ばれる手法を用いて、電話やメールで巧妙にパスワードを聞き出し、それを使って不正アクセスを行う事例も増えています。これらの行為は全て不正アクセス禁止法の適用対象となり、厳しく処罰されます。

4. 例題と解説

問題1

不正アクセス禁止法において、不正アクセス行為に該当するものはどれか。

ア Webサイトに対してSQLインジェクション攻撃を行い、データベースの内容を表示させた。
イ 公開されているWebサイトのHTMLソースコードを解析した。
ウ 退職した会社のメールサーバに、在職中のIDとパスワードでログインした。
エ インターネット上で公開されている脆弱性情報を収集した。

解答:ウ

解説
 不正アクセス禁止法では、アクセス制御機能により制限されているコンピュータに対し、他人の識別符号を無断で入力して利用する行為を禁止しています。選択肢ウは、退職により利用権限を失った後に、以前のIDとパスワードを使用してアクセスする行為であり、典型的な不正アクセス行為に該当します。

flowchart TD
    Start([行為の開始])
    Start --> CheckAccessControl{アクセス制御機能
による制限あり?}
    
    CheckAccessControl -->|なし| NotIllegal[不正アクセス行為に
該当しない]
    CheckAccessControl -->|あり| CheckAuthority{正当な利用権限
を持っているか?}
    
    CheckAuthority -->|持っている| CheckOwnID{自分の識別符号
を使用?}
    CheckAuthority -->|持っていない| CheckMethod{アクセス方法は?}
    
    CheckOwnID -->|はい| NotIllegal
    CheckOwnID -->|いいえ| IllegalAccess[不正アクセス行為
に該当]
    
    CheckMethod --> UseOthersID[他人の識別符号
を無断使用]
    CheckMethod --> BypassControl[セキュリティホール等
を悪用して制限回避]
    
    UseOthersID --> IllegalAccess
    BypassControl --> IllegalAccess
    
    IllegalAccess --> Penalty[3年以下の懲役
または
100万円以下の罰金]
    NotIllegal --> End([終了])
    Penalty --> End
    
    style IllegalAccess fill:#ff6666
    style Penalty fill:#ff9999
    style NotIllegal fill:#66ff66

問題2

不正アクセス禁止法と刑法の電子計算機損壊等業務妨害罪の違いについて、適切なものはどれか。

ア 不正アクセス禁止法は実害の有無を問わないが、刑法は実害が必要である。
イ 不正アクセス禁止法は個人のみが対象だが、刑法は法人も対象である。
ウ 不正アクセス禁止法は国内のみ適用だが、刑法は国外でも適用される。
エ 不正アクセス禁止法は親告罪だが、刑法は非親告罪である。

解答:ア

解説
 不正アクセス禁止法の最大の特徴は、ネットワークへの侵入行為そのものを処罰対象としている点です。実際にデータの改ざんや業務妨害が発生していなくても、不正にアクセスした時点で犯罪が成立します。一方、刑法の電子計算機損壊等業務妨害罪は、実際に業務が妨害されるという結果が必要です。

5. まとめ

 不正アクセス禁止法は、サイバー空間の秩序を維持するための重要な法律です。刑法がデータの改ざんや消去などの結果を処罰対象とするのに対し、不正アクセス禁止法はネットワークへの侵入行為そのものを一律に犯罪として扱います。この予防的な性格により、サイバー犯罪の初期段階での取り締まりが可能となっています。

 情報システムに携わる技術者は、この法律の内容を正しく理解し、適切なアクセス制御の実装と運用を行うことが求められます。また、自身が不正アクセス行為を行わないよう、常に法令遵守の意識を持つことが重要です。

2.3. 刑法 >>

ご利用上のご注意

 このコンテンツの一部は、生成AIによるコンテンツ自動生成・投稿システムをもちいて作成し、人間がチェックをおこなった上で公開しています。チェックは十分に実施していますが、誤謬・誤解などが含まれる場合が想定されます。お気づきの点がございましたらご連絡いただけましたら幸甚です。