- 1.サイバーセキュリティ基本法
- 2.法律で罰則を強化しては?
- 3.電子署名法
- 4.不正競争防止法
- 5.ソフトウェア等脆弱性関連情報取扱基準
- 6.不正アクセス禁止法
- 7.特定電子メール法、オプトインとオプトアウト
- 8.プロバイダ責任制限法
- 9.電子計算機使用詐欺罪
- 10.電磁的記録不正作出及び供用罪,支払用カード電磁的記録不正作出等罪
- 11.不正指令電磁的記録に関する罪(いわゆるコンピュータ・ウイルスに関する罪)
- 12.コンピュータウイルス対策基準
- 13.コンピュータ不正アクセス対策基準
1.サイバーセキュリティ基本法
(1)サイバーセキュリティ基本法
試験対策ということで、なるべく、IPAの文献から引用しています。
IPAのプレス発表では、以下のように述べられています。
サイバーセキュリティ基本法(IPAのプレス発表) |
---|
今般、サイバーセキュリティ基本法(平成26年法律第104号)の施行により、「サイバーセキュリティ戦略本部」が設置され、また、NISCが改組され省庁横断の司令塔としての機能が強化されることとなりました。 |
※NISCとは「内閣官房内閣サイバーセキュリティセンター」のことです。
NISCに関しては、以下にも解説をしています。
セキュリティに関する組織 (2)NISC
この法律では、「国の責務」「地方公共団体の責務」「重要社会基盤事業者の責務」などが規定されています。
また、「国民の努力」として、「国民は、基本理念にのっとり、サイバーセキュリティの重要性に関する関心と理解を深め、サイバーセキュリティの確保に必要な注意を払うよう努めるものとする」という記載があります。
過去問(H27秋FE) |
---|
問79 サイバーセキュリティ基本法の説明はどれか。 ア 国民に対し,サイバーセキュリティの重要性につき関心と理解を深め,その確保に必要な注意を払うよう努めることを求める規定がある。 イ サイバーセキュリティに関する国及び情報通信事業者の責務を定めたものであリ,地方公共団体や教育研究機関についての言及はない。 ウ サイバーセキュリティに関する国及び地方公共団体の責務を定めたものであり,民間事業者が努力すべき事項についての規定はない。 エ 地方公共団体を“重要社会基盤事業者”と位置づけ,サイバーセキュリティ関連施策の立案・実施に責任を負うと規定している。 |
↓
↓
↓
↓
↓
【解説】
アは正解選択肢で、第9条に「国民の努力」としての記載があります。また、「地方公共団体の責務」や「重要社会基盤事業者の責務」(=民間事業者)などが規定されています。よって、イやウは不正解です。
選択肢エですが、地方公共団体と重要社会基盤事業者は別物です。
【正解】 ア
過去問(H27秋AP) |
---|
問79 サイバーセキュリティ基本法において,サイバーセキュリティの対象として規定されている情報の説明はどれか。 ア 外交,国家安全に関する機密情報に限られる。 イ 公共機関で処理される対象の手書きの書類に限られる。 ウ 個人の属性を含むプライバシー情報に限られる。 エ 電磁的方式によって,記録,発信,伝送,受信される情報に限られる。 |
↓
↓
↓
↓
↓
【正解】エ
2.法律で罰則を強化しては?
セキュリティ違反には、厳しく対処するべきだと思いますが、法律がないと逮捕できないですね。
日本はどうなってますか?
残念ながらウイルスなどに対する法整備は遅れている。
また、罰則も厳しいとはいえないかもしれない。
企業においても、罰則をある程度厳しく設けないと、いけなくなってきているかもしれない。
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「国内では、ウイルスの作成・配付を罰するための法律が整備されていない(2011年3月現在) (中略)警視庁は、2010年8月にパソコン内のファイルのデータをタコやイカの画像に書き換える破壊型ウイルス(通称:タコイカウイルス)を作成し、ファイル共用ソフトを用いて配付した会社員を器物損壊罪の容疑で逮捕した。しかし、裁判において被告側はウイルスの作成は認めたが器物損壊にあたらないとしており、器物損壊罪にあたるかどうかは、裁判所の判断にゆだねられている。」
確かに、器物破損?って変な感じですね。
その通りで、ウイルス作成を罪に問う法律が現在はない。この会社員に関しては、以前にもウイルス作成をしたが、そのときは、「アニメキャラクターの無断使用による著作権法違反の罪(出典同じ)」で有罪としている。
とはいえ、法整備は少しずつ進められている。同じ出典には、「政府は3月11日閣議で、改正案を決定した。改正案では、正当な理由なしにウイルスの作成や配付をした場合に3年以下の懲役または50万円以下の罰金を科すものとした。また、ウイルスの取得や保管をした場合も2年以下の懲役または30万円以下の罰金とした。」と述べられている。
3.電子署名法
電子署名が法的にどう扱われるかが明らかにされていないと、電子商取引の推進が図れません。そこで、電子署名及び認証業務等に関する法律(電子署名法)により、「電子署名には,民事訴訟法における押印と同様の効力が認められている(H24年春AU午前2問54)」と規定されました。
この法律に基づき、認証業務を行う者として認定を受けた者を、「認定認証事業者」と言います。
過去問(H20SU午前問50) |
---|
問50 電子署名法に規定されているものはどれか ア 電子署名技術は公開鍵技術によるものと規定されている。 イ 電子署名には、電磁的記録以外であって、コンピュータ処理の対象とならないものも含まれる。 ウ 電子署名には、民事訴訟法における押印と同様の効力が認められている。 エ 電子署名の認証業務ができるのは、政府が運営する認証局に限られる。 |
↓
↓
↓
↓
↓
通常の押印と同様に、電子署名にも同様の法的効力を持たせる法律。
今回の正解は正解ウです。
4.不正競争防止法
企業業秘密って、会社を辞めたあとも漏らしてはいけないと聞きますが、そうは言ってもそれほど重要ではないのでは?他社からしたら、そんなこと当たり前だよ。と言われちゃうレベルなんでは?
会社を辞めたあとというか、死んでも漏らしてはいけないというのが一般的かな。
就業規則で明記されていない場合でも、日本人のサムライ魂として、お世話になった企業の機密情報は天国まで持っていくという美学が流れているかな。
大した情報ではないのもあれば、そうでないのもある。優良顧客リストなどは大事だね。
(1)営業秘密となる要件
企業における営業秘密が漏えいすると、企業の存続をも揺るがしかねない事態になる。
そこで、不正競争防止法にて、営業秘密を保護する法律が作られた。
ただし、何もかもが営業秘密ではない。その要件は「秘匿性」「有用性」「非公知性」である。
過去問では、「不正競争防止法において,営業秘密となる要件は,“秘密として管理されていること”,“事業活動に有用な技術上又は営業上の情報であること”「公然と知られていないこと」(H21春AP午前78を編集)と述べられている。
一方、課題として、情報漏えいしてしまうと、さらに被害が広がる恐れから、泣き寝入りせざるを得ない状況でもあるようだ。以下は引用。
引用 |
---|
刑事裁判手続において審理が公開されることにより、営業秘密の内容が公にされてしまうおそれが存在することから、侵害された情報の価値が高いものであればあるほど、被害にあった企業が告訴を行うことを躊躇してしまうという事態が発生している。 (出典:「営業秘密に係る刑事的措置の見直しの方向性について」平成21年2月 産業構造審議会知的財産政策部会 技術情報の保護等の在り方に関する小委員会) |
過去問(H29春SG午前問33)を見てみましょう。
過去問(H29春SG午前問33) |
---|
問33 不正競争防止法で保護されるものはどれか。 ア 特許権を取得した発明 イ 頒布されている自社独自のシステム開発手順書 ウ 秘密として管理していない,自社システムを開発するための重要な設計書 エ 秘密として管理している,事業活動用の非公開の顧客名簿 |
↓
↓
↓
↓
↓
不正競争防止法で営業秘密として保護されるのは、「秘匿性」「有用性」「非公知性」の3つです。よって、その条件に当てはまるエが正解です。
(2)ドメイン名の不正取得
また、不正競争防止法の第二条では、「不正競争」がどんな行為かが定義されています。
その12項目に、以下があります。
「不正競争」の定義 |
---|
不正の利益を得る目的で、又は他人に損害を加える目的で、他人の特定商品等表示(人の業務に係る氏名、商号、商標、標章その他の商品又は役務を表示するものをいう。)と同一若しくは類似のドメイン名を使用する権利を取得し、若しくは保有し、又はそのドメイン名を使用する行為 |
5.ソフトウェア等脆弱性関連情報取扱基準
ソフトウエア等脆弱性関連情報取扱基準が経済産業省から発表されています。その「主旨」として、以下が述べられています。
ソフトウエア等脆弱性関連情報取扱基準の「主旨」 |
---|
本基準は、ソフトウエア等に係る脆弱性関連情報等の取扱いにおいて関係者に推奨する行為を定めることにより、脆弱性関連情報の適切な流通及び対策の促進を図り、コンピュータウイルス、コンピュータ不正アクセス等によって不特定多数の者に対して引き起こされる被害を予防し、もって高度情報通信ネットワークの安全性の確保に資することを目的とする。 |
また、この基準では、いくつかの関係者が登場します。その関係者の定義もこの基準に記載されています。
ソフトウエア等脆弱性関連情報取扱基準の関係者の定義 |
---|
1.発見者 脆弱性関連情報を発見又は取得した者。 2.受付機関 発見者が脆弱性関連情報を届け出るための機関。 3.調整機関 脆弱性関連情報に関して、製品開発者への連絡及び公表等に係る調整を行う機関。 4.製品開発者 ソフトウエア製品の開発等を行う者であって、以下のいずれかに該当する者。 (1)ソフトウエア製品を開発した者。 (2)(1)に掲げる者のほか、ソフトウエア製品の開発、加工、輸入又は販売に関する形態その他の事情からみて、当該ソフトウエア製品の実質的な開発者と認められる者。 5.ウェブサイト運営者 ウェブサイトを運営する者。 |
この基準では、関係者ごとに、脆弱性関連情報の取扱い関係者に推奨する行為を定めています。
では、情報処理安全確保支援士試験の過去問を解いてみましょう。
過去問(H22SC春午前Ⅱ問7) |
---|
問7 経済産業省告示の“ソフトウェア等脆弱性関連情報取扱基準”におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。 ア Webアプリケーションの脆弱性についての情報を受けた受付機関は、発見者の氏名・連絡先をWebサイト運営者に通知する。 イ Webアプリケーションの脆弱性についての通知を受けたWebサイト運営者は、当該脆弱性に起因する個人情報の漏えいなどが発生した場合、事実関係を公表しない。 ウ 受付機関は、Webサイト運営者からWebアプリケーションの脆弱性が修正されたという通知を受けたら、それを速やかに発見者に通知する。 エ 受付機関は、一般利用者に不安を与えないために、Webアプリケーションの脆弱性関連情報の届出状況は、受付機関の中で管理し、公表しない。 |
↓
↓
↓
↓
↓
本基準を知らなかったとしても,常識で考えれば分かると思います。消去法で,おかしいと思うものを消してきましょう。例えばアですが,発見者の個人情報を通知してはいけませんよね。
正解はウです。
6.不正アクセス禁止法
不正アクセス禁止法に関して、過去問(H21SC秋午前Ⅰ問30より)では、「利用権限をもたない第三者が、他人のIDやパスワードを使ってネットワークに接続されたコンピュータを利用可能にする行為及びその助長行為を処罰の対象にしている法律」と述べています。ポイントの一つは、「他人のIDやパスワードを使って(※法律上は「識別符号」と表記されています)」という部分です。IDやパスワードなどのアクセス制御が設定されていないシステムへの不正行為は、この法律の対象外になります。
もう一つのポイントは「電気通信回線を通じて行われる電子計算機に係る犯罪」ということです。つまり、「ネットワークを通じて、これに接続されたコンピュータを対象として行われる犯罪」です。ですから、恋人のスマホのパスワードを解読して読むことは、この法律の対象にはなりません。
法律の内容と、その解説は、警察庁のサイトに記載があります。
(旧リンク)https://www.npa.go.jp/cyber/legislation/pdf/1_kaisetsu.pdf
では、過去問(H22年AU午前2)を解いてみましょう。
過去問(H22年AU午前2) |
---|
問17 不正アクセス禁止法に照らして違法となる行為はどれか。 ア サーバ管理者が,インターネット経由でサーバにアクセスし,自社の営業秘密をダウンロードした。 イ 社外の者が,管理者の了解を得ないで,インターネット経由でポートスキャンを行った結果を,Webサイトに公開した。 ウ 社外の者が,利用者認証機能をもたないサーバに,インターネット経由でアクセスし,その企業のデータベースを破壊した。 エ 社内の正規利用者でない者が,不正に入手したID・パスワードを用いて,LAN経由でサーバにアクセスした。 |
↓
↓
↓
↓
↓
ポイントは、アクセス制御がされていたかです。アのように、自分のIDを使っている場合や、ウのように認証機能を持たない場合は、この法律の対象外になります。イのポートスキャンは、侵入していませんので対象外です。
正解は、エです。ネットワークを経由し、アクセス制御がされているシステムに不正ログインしているからです。
7.特定電子メール法、オプトインとオプトアウト
正式には「特定電子メールの送信の適正化等に関する法律」です。いわゆる迷惑メールを防止するために法律です。
まず、特定電子メール(迷惑メールとかんがえてもらっていいです)とは、「電子メールの送信からの送信をする者が自己又は他人の営業につき広告又は宣伝を行うための手段として送信をする電子メール」のことです。
目的を原文にて確認しましょう。
特定電子メールの送信の適正化等に関する法律(原文) |
---|
第一条 この法律は、一時に多数の者に対してされる特定電子メールの送信等による電子メールの送受信上の支障を防止する必要性が生じていることにかんがみ、特定電子メールの送信の適正化のための措置等を定めることにより、電子メールの利用についての良好な環境の整備を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。 |
減らない迷惑メール(SPAMメール)に対処するため、特定電子メール法の改正が行われ、H20年12月から施行された。
改定のポイントは以下である。
(1)オプトアウト(opt-out)⇔方式からオプトイン方式へ
現行のオプトアウト方式は、受信拒否が無い場合に送信してよいというもの。それに対しオプトイン方式は、受信許可がある場合にのみ送信してよいというもの。
オプトインメールという言葉が最も耳にする内容かもしれない。
オプトインメールは、許可を得た人に対してメールを送る。逆に、オプトアウトは許可を得ずにメールを送る。オプトアウトの意味は、許可なしのメールを停止する機能や停止する行為そのものを指すこともある。
過去問(H25年秋IP問9)では、オプトインメール広告について、「インターネットを利用した広告において,あらかじめ受信者からの同意を得て,受信者の興味がある分野についての広告をメールで送るもの」と述べられています。
参考ですが、optは選ぶという意味です。日常語になっているoptionも,このoptからきています。
(2)プロバイダによる迷惑メールの拒否
これまでは、迷惑メールであってもプロバイダが拒否することができなかった。プロバイダは迷惑メールによってハードスペックを大幅に増強する必要があった。今回の改正により、送信者情報を偽ったメールは拒否することができる。つまり、転送せずに廃棄できる。送信者偽装かの判断はドメイン認証SPF(Sender Policy Framework)を使うことになるだろう。)
(3)罰則の強化
100万円以下の罰金が3000万円以下の罰金に大きく引き上げられた。
以下のサイトを参照しました。
http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/pdf/081203_2.pdf
過去問(H27春PM午前2)を解いてみましょう。
過去問(H27春PM午前2) |
---|
問23 広告宣伝のメールを送信する場合,特定電子メール法に照らして適切なものはどれか。 ア 送信の許諾を通知する手段をメールに表示していれば,同意を得ていない不特定多数の人にメールを送信することができる。 イ 送信の同意を得ていない不特定多数の人にメールを送信する場合は,メールの表題部分に未承諾広告であることを明示する。 ウ 取引関係にあるなどの一定の場合を除き,あらかじめ送信に同意した者だけに対して送信するオプトイン方式をとる。 エ メールアドレスを自動的に生成するプログラムを利用してメールを送信する場合は,送信者の氏名・連絡先をメールに明示する。 |
↓
↓
↓
↓
↓
正解はウです。
8.プロバイダ責任制限法
プロバイダ責任制限法では、大きく2つのことができる。
❶発信者情報開示請求
→不適切な書き込みをした人の情報を、掲示板の管理者やプロバイダ開示してもらうように依頼できる
❷送信防止措置
→不適切な書き込みを削除してもらうように依頼できる。
ここまでは理解できるのですが、「責任制限」という部分がよくわかりません。
例を挙げます。掲示板に、自分のプライバシーを侵害したことを書かれた場合、プロバイダに言えば、書き込んだ人の情報を開示してくれるというものです。このとき,開示したプロバイダは,違法に情報を掲載した人からの「勝手に俺の名前を教えるな!損害賠償を払え!」と言われても,無視できるのです。
これまでは、通信の秘密の観点から、プロバイダは開示できませんでした。
情報処理安全確保支援士試験の過去問(R2秋SC午前2問30)では、「プロバイダ責任制限法が定める特定電気通信役務提供者が行う送信防止措置に関する記述」として,
「権利侵害を防ぐための送信防止措置の結果,情報の発信者に損害が生じた場合でも,一定の条件を満たしていれば,特定電気通信役務提供者は賠償責任を負わない。」とあります。
別の過去問(H23秋IP午前)をみましょう。
過去問(H23秋IP午前) |
---|
問28 プロバイダ責任制限法によって,プロバイダの対応責任の対象となり得る事例はどれか。 ア 書込みサイトへの個人を誹謗中傷する内容の投稿 イ ハッカーによるコンピュータへの不正アクセス ウ 不特定多数の個人への宣伝用の電子メールの送信 エ 本人に通知した目的の範囲外での個人情報の利用 |
↓
↓
↓
↓
↓
正解は、アです。それ以外は、本法律には関係ありません。
参考ですが、イは不正アクセス禁止法、ウは特定電子メール法、エは個人情報保護法に関する内容です。
9.電子計算機使用詐欺罪
刑法の中の「電子計算機使用詐欺」に関するもので、原文は以下です。
「電子計算機使用詐欺」に関する原文 |
---|
第二百四十六条の二 前条に規定するもののほか、人の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権の得喪若しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは変更に係る虚偽の電磁的記録を人の事務処理の用に供して、財産上不法の利益を得、又は他人にこれを得させた者は、十年以下の懲役に処する。 |
これを読むと、よく分からないと思います。コンピュータにおいて、不当利得を得るような詐欺に対する法律です。
過去問(H26年秋ST午前2)では、電子計算機使用詐欺罪に関する出題があります。
過去問(H26年秋ST午前2) |
---|
問24 刑法の電子計算機使用詐欺罪が適用される違法行為はどれか。 ア いわゆるねずみ講方式による取引形態のWebページを開設する。 イ インターネット上に,実際よりも良品と誤認させる商品カタログを掲載し,粗悪な商品を販売する。 ウ インターネットを経由して銀行のシステムに虚偽の情報を与え,不正な振込や送金をさせる。 エ 企業のWebページを不正な手段で改変し,その企業の信用を傷つける情報を流す。 |
↓
↓
↓
↓
↓
正解はウです。
10.電磁的記録不正作出及び供用罪,支払用カード電磁的記録不正作出等罪
刑法の中の「電磁的記録不正作出及び供用」に関するもので、原文は以下です。
「電磁的記録不正作出及び供用」に関する原文 |
---|
第百六十一条の二 人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者は、五年以下の懲役又は五十万円以下の罰金に処する。 |
これもよく分からないですね。
まず、「電磁的記録」とは何でしょうか。単に「データ」と思っていいのですが、刑法の定義では、「電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるもの(第七条の二)」とあります。 「人の知覚によっては認識することができない」が一つのポイントです。
偽造テレフォンカードが代表例です。テレフォンカードという目には見えない「電磁的記録」がされているものを、不正に偽造すると、この法律で罰せられます。
また、支払用カード(クレジットカードやプリペイドカード)に特化して追加されたのが、支払用カード電磁的記録不正作出等罪です。例として、スキミングによるクレジットカードの偽造があります。
過去問(平成18年秋AD午前)を解いてみましょう。
過去問(平成18年秋AD午前) |
---|
問80 刑法の電磁的記録不正作出罪でいう電磁的記録に含まれないものはどれか。 ア ICメモリ イ テレホンカード ウ バーコード エ 光ディスク |
↓
↓
↓
↓
↓
電磁的記録の定義さえ理解していれば、簡単だったことでしょう。バーコードは何が書いてあるのかが表面に記載されています。なので、電磁的記録には含まれません。
正解はウです。
11.不正指令電磁的記録に関する罪(いわゆるコンピュータ・ウイルスに関する罪)
平成23年,刑法に不正指令電磁的記録に関する罪(いわゆるコンピュータ・ウイルスに関する罪)が新設されました。これは、「正当な理由がないのに,人の電子計算機における実行の用に供する目的で,次に掲げる電磁的記録その他の記録を作成し,又は提供した者は,3年以下の懲役又は50万円以下の罰金に処する。」というものです。
過去問(H27春FE午前)を見てみましょう。
過去問(H27春FE午前) |
---|
問79 刑法における,いわゆるコンピュータウイルスに関する罪となるものはどれか。 ア ウイルス対策ソフトの開発,試験のために,新しいウイルスを作成した。 イ 自分に送られてきたウイルスに感染した電子メールを,それとは知らずに他者に転送した。 ウ 自分に送られてきたウイルスを発見し,ウイルスであることを明示してウイルス対策組織へ提供した。 エ 他人が作成したウイルスを発見し,後日これを第三者のコンピュータで動作させる目的で保管した。 |
↓
↓
↓
↓
↓
ア、ウ:「正当な理由がない」わけではありません。
イ:「それとは知らずに」とありますから、この法律にある「目的」とは違います。
エ:正解選択肢です。
12.コンピュータウイルス対策基準
コンピュータウイルス対策基準は、経済産業省の以下のサイトに記載されています。
http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm
本基準の冒頭には「主旨」として、次の記載があります。
コンピュータウイルス対策基準「主旨」 |
---|
本基準は、コンピュータウイルスに対する予防、発見、駆除、復旧等について実効性の高い対策をとりまとめたものである。 |
この基準は、システムユーザ基準、システム管理者基準、ソフトウェア供給者基準、ネットワーク事業者基準及びシステムサービス事業者基準から構成されています。
たとえば、「システムユーザ基準」には、以下の記載があります。
「システムユーザ基準」 |
---|
a.ソフトウェア管理 (1)ソフトウェアは、販売者又は配布責任者の連絡先及び更新情報が明確なものを入手すること。 (2)オリジナルプログラムは、ライトプロテクト措置、バックアップの確保等の安全な方法で保管すること。 b.運用管理 ・・・ |
では、次の過去問(平成18年春AD午前)を解いてみよう。
過去問(平成18年春AD午前) |
---|
問55 “コンピュータウイルス対策基準"に準拠しているウイルス対策はどれか。 ア ウイルスに感染したことが分かったら,直近のバックアップファイルからシステムディスクを復元する。 イ ウイルスに感染したことが分かったら,被害の拡大を防ぐためにも直ちにディスクの初期化を行い,その後に必ずシステム管理者に連絡する。 ウ ソフトウェアの導入はウイルス感染の糸口となり得るので,コンピュータにソフトウェアを導入する場合はウイルス検査を行う。 エ プログラム中のデバッグ用命令は,ウイルス防止のために開発終了後も取り除かないようにする。 |
↓
↓
↓
↓
↓
正解はウです。
基準を知らなくても、一般常識で考えれば正解を導けることでしょう。
アは、不正解です。直近のバックアップファイルにも、すでにウイルスが感染している可能性があります。安全が確認されたバックアップファイルから復元することになります。
イは、不正解です。必ずしもディスクの初期化が最適策とは限りません。まずは、システム管理者に連絡して指示を仰ぎます。
エは不正解です。ウイルスがデバック用命令を実行することで、コンピュータに大きな危害を与える可能性があるからです。
13.コンピュータ不正アクセス対策基準
コンピュータ不正アクセス対策基準は、経済産業省の以下のサイトに記載されています。
http://www.meti.go.jp/policy/netsecurity/UAaccessCMG.htm
本基準の冒頭には「主旨」として、次の記載があります。
コンピュータ不正アクセス対策基準「主旨」 |
---|
本基準は、コンピュータ不正アクセスによる被害の予防、発見及び復旧並びに拡大及び再発防止について、企業等の組織及び個人が実行すべき対策をとりまとめたものである。 |
この基準は、システムユーザ基準、システム管理者基準、ネットワークサービス事業者基準及びハードウェア・ソフトウェア供給者基準で構成されています。
たとえば、「1.システムユーザ基準」の最初の項には次があります。
「1.システムユーザ基準」 |
---|
(1)パスワード及びユーザID管理 1.ユーザIDは、複数のシステムユーザで利用しないこと。 2.ユーザIDは、パスワードを必ず設定すること。 3.複数のユーザIDを持っている場合は、それぞれ異なるパスワードを設定すること。 4.悪いパスワードは、設定しないこと。 5.パスワードは、随時変更すること。 6.パスワードは、紙媒体等に記述しておかないこと。 7.パスワードを入力する場合は、他人に見られないようにすること。 8.他人のパスワードを知った場合は、速やかにシステム管理者に通知すること。 9.ユーザIDを利用しなくなった場合は、速やかにシステム管理者に届け出ること。 |
では、次の過去問を解いてみよう。
過去問(H20秋初級シスアド午前) |
---|
問50 “コンピュータ不正アクセス対策基準”に規定されている利用者IDに関する記述のうち、適切なものはどれか。 ア 同一部署内の同じ権限が設定される利用者は、同一の利用者IDを使用する。 イ 複数の利用者IDをもつ利用者は、すべての利用者IDに対してパスワードを設定し、一定期間ごとに変更する。 ウ 利用者IDの登録末梢は、廃止の届出を受理後、誤って末梢することを防ぐため1週間経過後に行う。 エ 利用者IDを設定する場合は、権限を必要最小限のものにし、その利用者IDを登録する対象機器も限定する。 |
↓
↓
↓
↓
↓
それほど難しくありませんね。
ひとつ一つ考えましょう。例えば、イであれば、そもそも、「複数の利用者IDをもつ利用者」がおかしいですね。正解はエです。