2022.03.27 怖い話⑪「不正アクセス禁止法」
センター長、中村です。
情報セキュリティにかかわる法律はいくつかありますが、今回は「不正アクセス禁止法」をキーワードに調べてみました。
正式名称は「不正アクセス行為の禁止等に関する法律」といいます。
権限がないものが、ID・パスワード(識別符号)を不正に取得し不正に利用することで、コンピュータなどの電子機器にアクセスした場合にこれを罰するという法律です。
2000年に施行されました。
大体想像がつくともいますが、どんなことが罰則にあたる行為なのか、
主な違反行為は次のようになります。
権限がないにもかかわらずネットワークなどを通じてパソコンやサーバー、SNSなどの情報システム内部に侵入する違反行為(不正アクセス罪・3年以下の懲役または100万円以下の罰金)。
他人のID・パスワード等を権限がないものが正当な理由なく取得する違反行為(不正取得罪・1年以下の懲役または50万円以下の罰金)。
他人のID・パスワードを第三者に提供して、不正アクセスを助長する違反行為(不正助長罪・1年以下の懲役または50万円以下の罰金)。
例えば、退職後も在職時に与えられたID・パスワードを使ってかつての職場のネットワークなどに接続して情報の閲覧をすれば「不正アクセス行為」。
そこで知りえた他人のID・パスワードをコピーして持ち出せば「不正取得行為」。
そのID・パスワードを第三者へ提供すれば「不正助長行為」となるわけです。
インターネットバンキング不正送金、メルカリのなりすまし、SNSのアカウント乗っ取りなど、すべて不正アクセス行為です。
同僚のID・パスワードをのぞき見する「ショルダーハッキング」も対象になります。
怖いですねー“不正アクセス”
では、どのように不正アクセスを防いだらよいか。
- パスワードの強度を上げること。
数字だけではなく、大文字・小文字・記号を組み合わせてパスワードの強度をあげること。
- パスワードの定期的な変更
パスワードの更新期間を決めて定期的に変更すること
(※2018年に総務省はパスワードのパターン化を招くとして、定期的な更新に否定的な見解を発表しています)
- 不要なID・パスワードの削除
利用者権限が更新された場合や退職者は発生したら素早くメンテナンス
- パスワードの使いまわしをやめること。
もちろん、ID・パスワードを付箋紙に書いてパソコンやデスクに貼り付けるのは論外です。
当社も良い機会なので、グループウェアやクラウドストレージ、業務システムのパスワードの更新を一斉に行う準備をしています。
利用者にとっては面倒な話ですが、情報セキュリティのためです。
当社の情報セキュリティポリシーに乗っ取って、対応していただきます。
クラウドの利用が主流になった今、ID・パスワードに関しては、「多段階認証」「多要素認証」も検討しなければなりません。
ちなみに、不正アクセスはID・パスワードの不正だけではなく、社内外ネットワークに存在するOS、アプリケーションソフトウェアの脆弱性をついた不正侵入もあることも付け加えておきます。