不正アクセス禁止法をわかりやすく解説 [組織が取るべき対策を紹介]
自社の情報セキュリティに関して、不安を抱えている経営者は多いかと思います。
特に、外部からの不正アクセスの標的となり、顧客情報などの個人情報が漏えいした場合は、企業に大きなダメージを与える場合があります。このため、セキュリティ強化は、企業が取り組むべき最優先課題と言えます。
以下では、「不正アクセス」について正しい理解を持つために、「不正アクセス禁止法」について解説し、合わせて、過去の事例や企業が取るべき対策も紹介します。
不正アクセス禁止法とは
不正アクセス禁止法とは、「アクセス権限のないコンピュータを不正に利用する行為」を禁止する法律で、2000年に施行されています。正式名称は、「不正アクセス行為の禁止等に関する法律」です。
不正アクセス禁止法の概要を深く理解するために、以下の3つを解説します。
- 不正アクセス禁止法の目的
- 不正アクセス禁止法の定義
- 不正アクセスによって起こりうる損害
目的
不正アクセス禁止法は、高度情報通信社会の健全な発展を実現することを目的としています。アクセス権限のないユーザーが、インターネットを介してサーバーやシステムに侵入することがないように規定されました。
企業ネットワークへの大規模なサイバー攻撃はもちろんのこと、個人のSNSへの不正ログインなど幅広く対象とされています。
不正アクセスによる情報漏えいが起こると、金銭的被害者の発生や企業が社会的信用を失うなど社会の混乱につながります。不正アクセス禁止法は、上記のような事態を防ぐために施行されました。
定義
不正アクセス禁止法では、「アクセス権限のないユーザーが、コンピュータへログインする行為」を犯罪として定義しています。
具体的には、以下の5つの行為が犯罪として定義されているので、正しく理解しておきましょう。
- 他人のIDやパスワードを奪取・盗用し、その人になりすましてアクセスする行為
- なりすまし以外の方法で不正に他人のIDやパスワードを取得する行為
- 不正アクセス行為の助長をする行為
- 他人の識別符号を不正に保管する行為
- 識別符号の入力を不正に要求する行為の禁止
不正アクセスによって起こりうる損害
外部からの不正アクセスを受けると、以下のような損害が考えられます。
- ホームページを改ざんされる
- サーバー内のデータを外部に流出される
- サーバーのシステムが破壊される
- サーバーやサービスが停止する
- 他のパソコンまで狙われる
- いつでも外部から侵入できる仕掛けを施される
企業が不正アクセスを受け、情報漏えいなどの被害者を出してしまった場合、慰謝料の支払いなど金銭的な負担に加え、社会的信用の低下につながります。
そして、最も大きな被害は、重要な業務システムが停止することで、事業活動そのものが行えなくなることです。例えば、「ネットショップで受注・発送が行えない」「部品が生産できない」「顧客の電話・メール対応が行えない」「取引先に支払いが行えない」といった問題が生じかねません。
不正アクセス禁止法で禁止されている5つの行為
不正アクセス禁止法では、以下の5つの行為が禁止されています。
- 不正アクセス行為
- 他人の識別符号を不正に取得する行為
- 不正アクセス行為を助長する行為
- 他人の識別符号を不正に保管する行為
- 識別符号の入力を不正に要求する行為の禁止
ここでは、具体的な行為や罰則について「不正アクセス行為の禁止等に関する法律 」の資料を元に解説します。
不正アクセス行為
不正アクセス禁止法の第三条には、「何人も、不正アクセス行為をしてはならない」と記述されています。本来アクセス権限のない人が不正にアクセスすることを禁ずるものです。
不正アクセス行為とは、以下の2種類に分類されています。
- 正規利用者になりすましてシステムにログインする行為
- セキュリティ・ホールを攻撃し、コンピュータに侵入する行為
正規利用者になりすます行為とは、他人のIDやパスワードを無断で利用して、システムを不正に利用することを指します。
また、「ソフトウェアの設計ミス」や「プログラムの不具合」が原因で発生するセキュリティ上の欠陥であるセキュリティ・ホールを狙い、コンピュータの内部に侵入する行為も禁止されています。
攻撃手法に関する関連記事(エンジニア向け)
第三条に違反した場合は、3年以下の懲役あるいは、100万円以下の罰金が課せられます。
引用:不正アクセス行為の禁止等に関する法律 | e-Gov法令検索
他人の識別符号(IDやパスワード)を不正に取得する行為
他人の識別符号(IDやパスワード)を不正に取得する行為も法律で禁止されています。
不正アクセスの準備行為に該当し、1年以下の懲役あるいは50万円以下の罰金が課せられることを知っておきましょう。
不正アクセス禁止法の第四条では、「何人も、不正アクセス行為(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。」と記述されています。
引用:不正アクセス行為の禁止等に関する法律 | e-Gov法令検索
不正アクセス行為を助長する行為
正規利用者のIDやパスワードを第三者へ無断で提供する行為は、不正アクセス行為を助長するものとして、禁止されています。
第三者への提供は、電子掲示板やSNS、電話、口頭など具体的な方法は問われません。
不正アクセス禁止法の第五条では、「何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。」と記述されています。
違反した場合は、1年以下の懲役または50万円以下の罰金という罰則が設けられています。
引用:不正アクセス行為の禁止等に関する法律 | e-Gov法令検索
他人の識別符号(IDやパスワード)を不正に保管する行為
他人のID・パスワードを不正に保管する行為は法律で禁止されています。
IDやパスワードを不正に取得した時点で第四条に該当しますが、保管するとさらに第六条にも違反していることになるのです。
第六条は以下のように記述されています。
「何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。」
具体的には、アクセス権限のない人が第三者のIDやパスワードを保存した場合に、禁止行為に該当します。
通信機器だけではなく、IDやパスワードが記載された紙やUSB、ICカードの保有も違反になることを知っておきましょう。
「不正保管罪」として、1年以下の懲役または50万円以下の罰金対象となります。
引用:不正アクセス行為の禁止等に関する法律 | e-Gov法令検索
識別符号(IDやパスワード)の入力を不正に要求する行為の禁止
識別符号の入力を不正に要求する「フィッシング」行為を禁止する規定です。
フィッシング行為とは、類似のウェブサイトや電子メールを使用して、ユーザーにIDやパスワードの入力を促すことを指します。
第七条では、「何人も、アクセス制御機能を特定電子計算機に付加したアクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、次に掲げる行為をしてはならない。ただし、当該アクセス管理者の承諾を得てする場合は、この限りでない。」と記述されています。
攻撃手法に関する関連記事(エンジニア向け)
上記のような「不正入力要求罪」の罰則は、1年以下の懲役または50万円以下の罰金です。
引用:不正アクセス行為の禁止等に関する法律 | e-Gov法令検索
不正アクセス禁止法の罰則と事例
不正アクセス禁止法の罰則と事例についてご紹介します。
罰則
不正アクセス禁止法は、犯罪行為によって罰則の内容が異なります。
不正アクセス行為を行った場合 | 3年以下の懲役または100万円以下の罰金 |
不正アクセスの準備行為を行った場合 | 1年以下の懲役または50万円以下の罰金 |
具体的には、他人のIDやパスワードを使って不正にログインしたり、セキュリティー・ホールの攻撃をしたりすると、不正アクセス行為を実施したと捉えられるでしょう。
そのため、3年以下の懲役または100万円以下の罰金が課せられます。一方、以下の行為は、不正アクセスの準備行為として、1年以下の懲役または50万円以下の罰則を受けることになるでしょう。
- 識別符号の入力を不正に要求する行為の禁止
- 他人の識別符号を不正に保管する行為
- 不正アクセス行為を助長する行為
- 他人の識別符号を不正に取得する行為
事例
ここでは、セブンペイ(7Pay)に不正アクセス・不正利用した事件をご紹介します。
令和1年にサービスを開始されたスマートフォン決済サービス「セブンペイ」。同社は、1,574名、約3,240万円の被害を受けたことが明らかになりました。
他人名義のセブンペイアカウントへ不正にログインし、商品を購入したとして、2名が不正アクセス禁止法違反などの容疑で逮捕されました。
この事件は、キャッシュレス決済事業者のセキュリティリスクを改めて浮き彫りにしたものと言えます。
経済産業省によると、令和2年における「不正アクセス禁止法違反事件の認知件数」は2,806件ということが明らかになりました。
出典:経済産業省|不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
なかでも「インターネットバンキングでの不正送金行為」が最多となっています。
令和元年に比較すると減少傾向にありますが、平成28〜平成30年の3年間と比べると、圧倒的に発生件数が多いので注意すべき犯罪だと言えるでしょう。
不正アクセス禁止法に対する3つの対策
不正アクセス禁止法に対する3つの対策について解説します。
- 必要に応じたソフトウェアアップデート
- IDやパスワードの適切な管理
- 定期的な脆弱性診断の実施
必要に応じたソフトウェアアップデート
必要に応じてソフトウェアアップデートを実施し、可能な限り最新の状態に保つようにしましょう。
現在利用しているシステムに関して、ハードウェアならびにソフトウェアのベンダーから、脆弱性の修正プログラム適用について連絡があった場合は。迅速に適用する必要があります。
IDやパスワードの適切な管理
自身のIDやパスワードの不正利用を防ぐため、管理を徹底してする必要があります。
具体的には、他人に推測されないようなIDおよびパスワードを設定する、また複数のサービスで同じものを使いまわさないようにしましょう。
安全性の高いパスワードの作成ポイント
- 名前や誕生日などの個人情報からは推測できないこと
- 名前を英単語にしてそのまま使用していないこと
- アルファベットと数字が混在していること
- 類推しやすい並び方やその安易な組合せにしないこと
とはいえ、それぞれのシステムで別々の、強固なパスワードを作成して、それらすべてを記憶しておくことは難しいのが実情です。よって、SSO (シングルサインオン) 製品や、IDaaS (ID管理クラウドサービス) を利用することで、多要素認証(ID・パスワードに加えて、認証コードや生体情報を用いた認証)を導入することも効果的です。
定期的な脆弱性診断の実施
自社ウェブサイトや、自社システムに対して定期的に脆弱性診断を実施すると、システムの脆弱性を早期に検知でき、脆弱性をなくすための対策が可能となります。結果、セキュリティレベルが向上し、不正アクセスを防ぐことができます。
脆弱性診断には大きく2つの方法があります。
1つは、セキュリティエンジニアを有する企業に依頼する場合です。この場合、高度かつ徹底的な診断を実施してもらえるというメリットがある反面、コストが高いため、頻繁に診断が行えないのが実情です。
もう1つの方法は、脆弱性診断ツールを利用するという方法です。診断内容なレベルはツールにより異なりますが、低額かつ繰り返し診断実施が可能であるため、必要なタイミングで何度も実施できるメリットがあります。例えば、「修正プログラム適用後」「システム修正後」といったタイミングで、追加費用なくすぐに実施できます。
定期的な脆弱性診断なら「Securify Scan」
定期的に脆弱性診断を実施することで、自社のセキュリティレベルを高められます。
社内で手軽にセキュリティ診断を実施したい場合には、セキュリティのプロフェッショナル集団である株式会社スリーシェイクが提供するツール「Securify scan(セキュリファイ スキャン)」をおすすめします。
「Securify Scan」を活用すると、クラウド上で脆弱性診断を実施し、診断結果を一覧表示するので簡単に脆弱性を発見できます。さらに、診断結果をスコア表示するため、自社のセキュリティレベルを可視化できることも魅力です。
脆弱性を見つけるだけでなく、脆弱性の概要解説や該当箇所の修正方法の提案、トラブル発生時に必要な情報も提供します。
自社のセキュリティレベルを把握したい企業様は、14日間の無料トライアルにて「Securify Scan」をお試しください。