関連法規・その1(サイバーセキュリティ基本法・不正アクセス禁止法)[情報セキュリティマネジメント講座]
今回からは情報セキュリティマネジメント試験におけるセキュリティ関連法規について学習していきます。
関連法規・その1
ITの進展に伴って、多くの情報セキュリティに関する法律が制定されてきました。
情報セキュリティに関わる方は法令遵守のためにも、情報セキュリティ関連法規も押さえておく必要があります。
サイバーセキュリティ基本法
サイバーセキュリティ基本法は国家レベルでサイバーセキュリティ対策を強化する体制を構築するための法律です。
サイバーセキュリティ戦略本部を内閣に設置し、政府や行政機関のサイバーセキュリティ対策を指揮しています。
対象者毎に別途、責務を規定しています。
- 国・地方公共団体(都道府県・市町村):サイバーセキュリティの施策を策定・実施する責務がある
- 重要社会基盤事業者・サイバー関連事業者:サイバーセキュリティの確保に努める
- 国民:サイバーセキュリティの確保に必要な注意を払う
サイバーセキュリティ基本法が制定され、それより前と比較すると以下の点でサイバーセキュリティ戦略本部の権限が強化されました。
政府の推進体制の強化
日本のサイバーセキュリティ分野の司令塔を担うため、サイバーセキュリティ戦略本部と、その事務処理を行う内閣サイバーセキュリティセンター(NISC)を設置する。
各省庁への権限
従来は各省庁が自主的な監査を行っていた。
NISC設置後はNISCが各省庁の監査(ペネトレーションテストやマネジメント監査)を行う。
基本戦略
基本法に基づき、サイバーセキュリティ戦略へと格上げされました。
基本法とは
- 国政に重要なウエイトを占める分野について、国の制度・政策・対策に関する基本方針を明示する
- 親法として他の法律に対して優位的な地位にあり、行政上の施策の方向付けや他の法律、行政を指導・誘導する
- 従来の憲法→法律→命令から、最近では憲法→基本法→法律→命令といった法体系になりつつある
といった特徴があります。
刑法
刑法でも情報セキュリティやコンピュータに関する罪が記載されています。
罪名 | 法律・条文 | 例 |
不正指令電磁的記録に関する罪 | 刑法168条の2、168条の3 (引用:Wikipedia) |
マルウェアを作成する |
電子計算機機使用詐欺罪 | 刑法246条の2 (引用:Wikipedia) |
なりすましをする データを改ざんする |
電子計算機損壊等業務妨害罪 | 刑法234条の2 (引用:コトバンク) |
コンピュータやデータを破壊し、業務を妨害する |
電磁的記録不正作出及び供用罪 | 刑法161条の2 (引用:コトバンク) |
データを偽装する 偽装データを利用する |
支払用カード電磁的記録不正作出等罪 | 刑法162条の2,163条の5 (引用:法務省) |
クレジットカードやキャッシュカードを偽造する |
不正アクセス禁止法
不正アクセス禁止法では、ネットワーク経由でコンピュータへの不正アクセスに対する行為やそれを助長する行為を処罰する法律です。
この法律を適用するためにはユーザIDやパスワードの設定を適切にしなければいけません。
刑法ではデータの改ざんや消去を対象としていましたが、不正アクセス禁止法ではネットワークやコンピュータへの侵入を処罰の対象としています。
具体的な不正アクセスの例は以下の通りです。
- 他人のIDやPWを無断で使用し不正アクセスする行為
- セキュリティホールを狙った攻撃
- 他人のパスワードを許可なく第三者に教える行為
関連法規(その1)・例題
実際に例題を解いて問題に慣れていきましょう。
問題
問1
サイバーセキュリティ基本法において,サイバーセキュリティの対象として規定されている情報の説明はどれか。(AP H.27/秋)
ア 外交,国家安全に関する機密情報に限られる。
イ 公共機関で処理される対象の手書きの書類に限られる。
ウ 個人の属性を含むプライバシー情報に限られる。
エ 電磁的方式によって,記録,発信,伝送,受信される情報に限られる。
問2
記憶媒体を介して,企業で使用されているコンピュータにマルウェアを侵入させ,そのコンピュータの記憶内容を消去した者を処罰の対象とする法律はどれか。(H.30/春)
ア 刑法
イ 製造物責任法
ウ 不正アクセス禁止法
エ プロバイダ責任制限法
問3
不正アクセス禁止法による処罰の対象となる行為はどれか。(H.28/秋)
ア 推測が容易であるために,悪意のある攻撃者に侵入される原因となった,パスワードの実例を,情報セキュリティに関するセミナの資料に掲載した。
イ ネットサーフィンを行ったところ,意図せずに他人の利用者IDとパスワードをダウンロードしてしまい,PC上に保管してしまった。
ウ 標的とする人物の親族になりすまし,不正に現金を振り込ませる目的で,振込先の口座番号を指定した電子メールを送付した。
エ 不正アクセスを行う目的で他人の利用者ID,パスワードを取得したが,これまでに不正アクセスは行っていない。
解説(クリックで展開)
関連法規(その1)・まとめ
今回は関連法規について学習しました。
刑法と不正アクセス禁止法はごっちゃになりやすいので注意しましょう。
次回も引き続き、関連法規について学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
ディスカッション
コメント一覧
まだ、コメントがありません