情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

13.法律や規格 > 13.5 法律

6b2fb508
セキュリティ違反には、厳しく対処するべきだと思いますが、法律がないと逮捕できないですね。
日本はどうなってますか?



残念ながらウイルスなどに対する法整備は遅れている。
また、罰則も厳しいとはいえないかもしれない。
企業においても、罰則をある程度厳しく設けないと、いけなくなってきているかもしれない。

情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「国内では、ウイルスの作成・配付を罰するための法律が整備されていない(2011年3月現在) (中略)
警視庁は、2010年8月にパソコン内のファイルのデータをタコやイカの画像に書き換える破壊型ウイルス(通称:タコイカウイルス)を作成し、ファイル共用ソフトを用いて配付した会社員を器物損壊罪の容疑で逮捕した。しかし、裁判において被告側はウイルスの作成は認めたが器物損壊にあたらないとしており、器物損壊罪にあたるかどうかは、裁判所の判断にゆだねられている。」
0b330982

確かに、器物破損?って変な感じですね。




その通りで、ウイルス作成を罪に問う法律が現在はない。この会社員に関しては、以前にもウイルス作成をしたが、そのときは、「アニメキャラクターの無断使用による著作権法違反の罪(出典同じ)」で有罪としている。
 とはいえ、法整備は少しずつ進められている。同じ出典には、「政府は3月11日閣議で、改正案を決定した。改正案では、正当な理由なしにウイルスの作成や配付をした場合に3年以下の懲役または50万円以下の罰金を科すものとした。また、ウイルスの取得や保管をした場合も2年以下の懲役または30万円以下の罰金とした。」と述べられている。

電子署名が法的にどう扱われるかが明らかにされていないと、電子商取引の推進が図れません。そこで、電子署名及び認証業務等に関する法律(電子署名法)により、「電子署名には,民事訴訟法における押印と同様の効力が認められている(H24年春AU午前2問54)」と規定されました。
この法律に基づき、認証業務を行う者として認定を受けた者を、「認定認証事業者」と言います。

問50 電子署名法に規定されているものはどれか
ア 電子署名技術は公開鍵技術によるものと規定されている。
イ 電子署名には、電磁的記録以外であって、コンピュータ処理の対象とならないものも含まれる。
ウ 電子署名には、民事訴訟法における押印と同様の効力が認められている。
エ 電子署名の認証業務ができるのは、政府が運営する認証局に限られる。(H20SU 午前問題 問50より)
通常の押印と同様に、電子署名にも同様の法的効力を持たせる法律。
今回の正解は正解ウです。

情報セキュリティスペシャリストの女性SE成子

企業業秘密って、会社を辞めたあとも漏らしてはいけないと聞きますが、そうは言ってもそれほど重要ではないのでは?他社からしたら、そんなこと当たり前だよ。と言われちゃうレベルなんでは?


会社を辞めたあとというか、死んでも漏らしてはいけないというのが一般的かな。
就業規則で明記されていない場合でも、日本人のサムライ魂として、お世話になった企業の機密情報は天国まで持っていくという美学が流れているかな。
大した情報ではないのもあれば、そうでないのもある。優良顧客リストなどは大事だね。

1.営業秘密となる要件
企業における営業秘密が漏えいすると、企業の存続をも揺るがしかねない事態になる。
そこで、不正競争防止法にて、営業秘密を保護する法律が作られた。
ただし、何もかもが営業秘密ではない。その要件は「秘匿性」「有用性」「非公知性」である。
過去問では、「不正競争防止法において,営業秘密となる要件は,“秘密として管理されていること”,“事業活動に有用な技術上又は営業上の情報であること”「公然と知られていないこと」(H21春AP午前78を編集)と述べられている。

一方、課題として、情報漏えいしてしまうと、さらに被害が広がる恐れから、泣き寝入りせざるを得ない状況でもあるようだ。以下は引用。
刑事裁判手続において審理が公開されることにより、営業秘密の内容が公にされてしまうおそれが存在することから、侵害された情報の価値が高いものであればあるほど、被害にあった企業が告訴を行うことを躊躇してしまうという事態が発生している。
(出典:「営業秘密に係る刑事的措置の見直しの方向性について」平成21年2月 産業構造審議会知的財産政策部会 技術情報の保護等の在り方に関する小委員会)

過去問(H29春SG午前問33)を見てみましょう。
問33 不正競争防止法で保護されるものはどれか。
ア 特許権を取得した発明
イ 頒布されている自社独自のシステム開発手順書
ウ 秘密として管理していない,自社システムを開発するための重要な設計書
エ 秘密として管理している,事業活動用の非公開の顧客名簿
不正競争防止法で営業秘密として保護されるのは、「秘匿性」「有用性」「非公知性」の3つです。よって、その条件に当てはまるエが正解です。

2.ドメイン名の不正取得
また、不正競争防止法の第二条では、「不正競争」がどんな行為かが定義されています。
その12項目に、以下があります。
不正の利益を得る目的で、又は他人に損害を加える目的で、他人の特定商品等表示(人の業務に係る氏名、商号、商標、標章その他の商品又は役務を表示するものをいう。)と同一若しくは類似のドメイン名を使用する権利を取得し、若しくは保有し、又はそのドメイン名を使用する行為

ソフトウエア等脆弱性関連情報取扱基準が経済産業省から発表されています。その「主旨」として、以下が述べられています。 
本基準は、ソフトウエア等に係る脆弱性関連情報等の取扱いにおいて関係者に推奨する行為を定めることにより、脆弱性関連情報の適切な流通及び対策の促進を図り、コンピュータウイルス、コンピュータ不正アクセス等によって不特定多数の者に対して引き起こされる被害を予防し、もって高度情報通信ネットワークの安全性の確保に資することを目的とする。

また、この基準では、いくつかの関係者が登場します。その関係者の定義もこの基準に記載されています。 
1.発見者
  脆弱性関連情報を発見又は取得した者。
2.受付機関
  発見者が脆弱性関連情報を届け出るための機関。
3.調整機関
  脆弱性関連情報に関して、製品開発者への連絡及び公表等に係る調整を行う機関。
4.製品開発者
  ソフトウエア製品の開発等を行う者であって、以下のいずれかに該当する者。
 (1)ソフトウエア製品を開発した者。
 (2)(1)に掲げる者のほか、ソフトウエア製品の開発、加工、輸入又は販売に関する形態その他の事情からみて、当該ソフトウエア製品の実質的な開発者と認められる者。
5.ウェブサイト運営者
  ウェブサイトを運営する者。
この基準では、関係者ごとに、脆弱性関連情報の取扱い関係者に推奨する行為を定めています。

では、過去問を解いてみましょう。
問7 経済産業省告示の“ソフトウェア等脆弱性関連情報取扱基準”におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。
ア Webアプリケーションの脆弱性についての情報を受けた受付機関は、発見者の氏名・連絡先をWebサイト運営者に通知する。
イ Webアプリケーションの脆弱性についての通知を受けたWebサイト運営者は、当該脆弱性に起因する個人情報の漏えいなどが発生した場合、事実関係を公表しない。
ウ 受付機関は、Webサイト運営者からWebアプリケーションの脆弱性が修正されたという通知を受けたら、それを速やかに発見者に通知する。
エ 受付機関は、一般利用者に不安を与えないために、Webアプリケーションの脆弱性関連情報の届出状況は、受付機関の中で管理し、公表しない。
(H22SC春午前Ⅱ問7)
 本基準を知らなかったとしても,常識で考えれば分かると思います。消去法で,おかしいと思うものを消してきましょう。例えばアですが,発見者の個人情報を通知してはいけませんよね。正解はウです。

不正アクセス禁止法に関して、過去問(H21SC秋午前Ⅰ問30より)では、「利用権限をもたない第三者が、他人のIDやパスワードを使ってネットワークに接続されたコンピュータを利用可能にする行為及びその助長行為を処罰の対象にしている法律」と述べています。ポイントの一つは、「他人のIDやパスワードを使って(※法律上は「識別符号」と表記されています)」という部分です。IDやパスワードなどのアクセス制御が設定されていないシステムへの不正行為は、この法律の対象外になります。

もう一つのポイントは「電気通信回線を通じて行われる電子計算機に係る犯罪」ということです。つまり、「ネットワークを通じて、これに接続されたコンピュータを対象として行われる犯罪」です。ですから、恋人のスマホのパスワードを解読して読むことは、この法律の対象にはなりません。

法律の内容と、その解説は、警察庁のサイトに記載があります。
https://www.npa.go.jp/cyber/legislation/pdf/1_kaisetsu.pdf

では、過去問(H22年AU午前2)を解いてみましょう。
問17 不正アクセス禁止法に照らして違法となる行為はどれか。
ア サーバ管理者が,インターネット経由でサーバにアクセスし,自社の営業秘密をダウンロードした。
イ 社外の者が,管理者の了解を得ないで,インターネット経由でポートスキャンを行った結果を, Webサイトに公開した。
ウ 社外の者が,利用者認証機能をもたないサーバに,インターネット経由でアクセスし,その企業のデータベースを破壊した。
エ 社内の正規利用者でない者が,不正に入手したID・パスワードを用いて,LAN経由でサーバにアクセスした。
ポイントは、アクセス制御がされていたかです。アのように、自分のIDを使っている場合や、ウのように認証機能を持たない場合は、この法律の対象外になります。イのポートスキャンは、侵入していませんので対象外です。
正解は、エです。ネットワークを経由し、アクセス制御がされているシステムに不正ログインしているからです。

正式には「特定電子メールの送信の適正化等に関する法律」です。いわゆる迷惑メールを防止するために法律です。
まず、特定電子メール(迷惑メールとかんがえてもらっていいです)とは、「電子メールの送信からの送信をする者が自己又は他人の営業につき広告又は宣伝を行うための手段として送信をする電子メール」のことです。

目的を原文にて確認しましょう。 
第一条   この法律は、一時に多数の者に対してされる特定電子メールの送信等による電子メールの送受信上の支障を防止する必要性が生じていることにかんがみ、特定電子メールの送信の適正化のための措置等を定めることにより、電子メールの利用についての良好な環境の整備を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。

減らない迷惑メール(SPAMメール)に対処するため、特定電子メール法の改正が行われ、H20年12月から施行された。
改定のポイントは以下である。

オプトアウト(opt-out)⇔方式からオプトイン方式へ
現行のオプトアウト方式は、受信拒否が無い場合に送信してよいというもの。それに対しオプトイン方式は、受信許可がある場合にのみ送信してよいというもの。
optは選ぶという意味。日常語になっているoptionもoptからきている。
オプトインメールという言葉が最も耳にする内容かもしれない。
オプトインメールは、許可を得た人に対してメールを送る。逆に、オプトアウトは許可を得ずにメールを送る。オプトアウトの意味は、許可なしのメールを停止する機能や停止する行為そのものを指すこともある。

過去問(H25年秋IP問9)では、オプトインメール広告について、「インターネットを利用した広告において,あらかじめ受信者からの同意を得て,受信者の興味がある分野についての広告をメールで送るもの」と述べられています。
オプトインとオプトアウト
参考ですが、optは選ぶという意味です。日常語になっているoptionも,このoptからきています。

プロバイダによる迷惑メールの拒否
これまでは、迷惑メールであってもプロバイダが拒否することができなかった。プロバイダは迷惑メールによってハードスペックを大幅に増強する必要があった。今回の改正により、送信者情報を偽ったメールは拒否することができる。つまり、転送せずに廃棄できる。送信者偽装かの判断はドメイン認証SPF(Sender Policy Framework)を使うことになるだろう。)

罰則の強化
100万円以下の罰金が3000万円以下の罰金に大きく引き上げられた。
以下のサイトを参照しました。
http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/pdf/081203_2.pdf

過去問(H27春PM午前2)を解いてみましょう。
問23 広告宣伝のメールを送信する場合,特定電子メール法に照らして適切なものはどれか。
ア 送信の許諾を通知する手段をメールに表示していれば,同意を得ていない不特定多数の人にメールを送信することができる。
イ 送信の同意を得ていない不特定多数の人にメールを送信する場合は,メールの表題部分に未承諾広告であることを明示する。
ウ 取引関係にあるなどの一定の場合を除き,あらかじめ送信に同意した者だけに対して送信するオプトイン方式をとる。
エ メールアドレスを自動的に生成するプログラムを利用してメールを送信する場合は,送信者の氏名・連絡先をメールに明示する。

正解はウです。

警視庁の以下のサイトに詳しい記載がある。

http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku402.htm
インターネットや携帯電話の掲示板などで誹謗中傷を受けたり、個人情報を掲載されて、個人の権利が侵害されるなどの事案が発生した場合、プロバイダ事業者や掲示板管理者などに対して、これを削除するよう要請しますが、事業者側がこれらを削除したことについて、権利者からの損害賠償の責任を免れるというものです。

また、権利を侵害する情報を発信した者の、情報の開示請求ができることも規定しています。 
例を挙げます。掲示板に、自分のプライバシーを侵害したことを書かれた場合、プロバイダに言えば、書き込んだ人の情報を開示してくれるというものです。このとき,開示したプロバイダは,違法に情報を掲載した人からの「勝手に俺の名前を教えるな!損害賠償を払え!」と言われても,無視できるのです。
これまでは、通信の秘密の観点から、プロバイダは開示できませんでした。
プロパイダ責任制限法

情報セキュリティスペシャリスト試験を目指す女性SE 


上記のURLには、誹謗された記事などを削除申請する方法のリンクもありますね
過去問例は以下(H23秋IP午前)
問28 プロバイダ責任制限法によって,プロバイダの対応責任の対象となり得る事例はどれか。

ア 書込みサイトへの個人を誹謗中傷する内容の投稿
イ ハッカーによるコンピュータへの不正アクセス
ウ 不特定多数の個人への宣伝用の電子メールの送信
エ 本人に通知した目的の範囲外での個人情報の利用 
正解は、アです。それ以外は、本法律には関係ありません。
参考ですが、イは不正アクセス禁止法、ウは特定電子メール法、エは個人情報保護法に関する内容です。

刑法の中の「電子計算機使用詐欺」に関するもので、原文は以下です。
第二百四十六条の二   前条に規定するもののほか、人の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権の得喪若しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは変更に係る虚偽の電磁的記録を人の事務処理の用に供して、財産上不法の利益を得、又は他人にこれを得させた者は、十年以下の懲役に処する。

これを読むと、よく分からないと思います。コンピュータにおいて、不当利得を得るような詐欺に対する法律です。
過去問(H26年秋ST午前2)では、電子計算機使用詐欺罪に関する出題があります。 
問24 刑法の電子計算機使用詐欺罪が適用される違法行為はどれか。
ア いわゆるねずみ講方式による取引形態のWebページを開設する。
イ インターネット上に,実際よりも良品と誤認させる商品カタログを掲載し,粗悪な商品を販売する。
ウ インターネットを経由して銀行のシステムに虚偽の情報を与え,不正な振込や送金をさせる。
エ 企業のWebページを不正な手段で改変し,その企業の信用を傷つける情報を流す。

正解はウです。

刑法の中の「電磁的記録不正作出及び供用」に関するもので、原文は以下です。
第百六十一条の二   人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者は、五年以下の懲役又は五十万円以下の罰金に処する。

これもよく分からないですね。
まず、「電磁的記録」とは何でしょうか。単に「データ」と思っていいのですが、刑法の定義では、「電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるもの(第七条の二)」とあります。 「人の知覚によっては認識することができない」が一つのポイントです。
偽造テレフォンカードが代表例です。テレフォンカードという目には見えない「電磁的記録」がされているものを、不正に偽造すると、この法律で罰せられます。

また、支払用カード(クレジットカードやプリペイドカード)に特化して追加されたのが、支払用カード電磁的記録不正作出等罪です。例として、スキミングによるクレジットカードの偽造があります。

過去問(平成18年秋AD午前)を解いてみましょう。 
問80 刑法の電磁的記録不正作出罪でいう電磁的記録に含まれないものはどれか。
ア ICメモリ
イ テレホンカード
ウ バーコード
エ 光ディスク
電磁的記録の定義さえ理解していれば、簡単だったことでしょう。バーコードは何が書いてあるのかが表面に記載されています。なので、電磁的記録には含まれません。
正解はウです。

平成23年,刑法に不正指令電磁的記録に関する罪(いわゆるコンピュータ・ウイルスに関する罪)が新設されました。これは、「正当な理由がないのに,人の電子計算機における実行の用に供する目的で,次に掲げる電磁的記録その他の記録を作成し,又は提供した者は,3年以下の懲役又は50万円以下の罰金に処する。」というものです。

過去問(H27春FE午前)を見てみましょう。
問79 刑法における,いわゆるコンピュータウイルスに関する罪となるものはどれか。
ア ウイルス対策ソフトの開発,試験のために,新しいウイルスを作成した。
イ 自分に送られてきたウイルスに感染した電子メールを,それとは知らずに他者に転送した。
ウ 自分に送られてきたウイルスを発見し,ウイルスであることを明示してウイルス対策組織へ提供した。
エ 他人が作成したウイルスを発見し,後日これを第三者のコンピュータで動作させる目的で保管した。
ア、ウ:「正当な理由がない」わけではありません。
イ:「それとは知らずに」とありますから、この法律にある「目的」とは違います。
エ:正解選択肢です。

このページのトップヘ