平成26年度 秋期 ITパスポート試験 公開問題 問23 解説 不正アクセス禁止法

不正アクセス禁止法の見極め方

不正アクセス禁止法は、本来アクセスする権限のないコンピュータに対して、不正な手段で侵入したり、なりすましたりする行為を処罰する法律です。この問題は、提示された行為が「正規の利用権限がないのに、不正な手段を使ってアクセス制御を破ったか」という点に注目して選択肢を絞り込みます。

アは、セキュリティホール（脆弱性）を突き、本来その先にアクセスする権限のない者がサーバー内部へ侵入する行為です。これはまさに、法律が禁じている「不正アクセス」そのものであり、正解となります。

不正アクセス禁止法が禁じていること

不正アクセス禁止法において、具体的に「不正アクセス」とみなされる行為は主に次の2つに分類されます。

1. 他人のIDやパスワードを勝手に使う行為（識別符号の悪用） 正当な利用者になりすましてシステムへログインする行為です。推測しやすいパスワードを入力する、フィッシング詐欺で盗み出した情報を使うなどが該当します。

2. セキュリティホールを突く行為（アクセス制御の回避） システムの設定ミスやバグ（脆弱性）をわざと攻撃し、認証をスルーしてシステム内部に侵入する行為です。アの選択肢がこれに該当します。

これらの行為は、情報の窃盗や改ざん、システムの破壊といった重大なセキュリティ事故を引き起こすため、法律で厳しく罰せられています。

なぜ他の選択肢は不正アクセスではないのか

選択肢イ・ウ・エが不正アクセス禁止法の対象外である理由は以下の通りです。

イの「サービス不能にする行為（DoS攻撃）」は、システムをダウンさせることが目的であり、必ずしもシステム内部への侵入を伴いません。こうした行為は「電子計算機損壊等業務妨害罪」など、別の刑法上の罪で処罰されます。

ウの「無線LANの傍受」は、通信の秘密に関わる重大な問題ですが、電波を傍受する行為自体は「通信を傍受して読み取ること」であり、コンピュータへの侵入ではありません。これは「電気通信事業法」や「有線電気通信法」などが関わってきます。

エの「ウイルスメールの送付」は、悪意のあるプログラムを配布する行為であり、不正指令電磁的記録供用罪などに該当する可能性がありますが、システムへの不正なログインを主軸とする不正アクセス禁止法の定義とは異なります。

セキュリティの現場での意義

ITパスポートの試験においてこの法律を学ぶ意義は、単に「どれが法律違反か」を覚えることではなく、ITエンジニアとして「やってはいけない境界線」を明確に理解することにあります。

システム開発や運用保守の現場では、テストのためにサーバーにアクセス権が必要になる場面があります。このとき、自分には付与されていないIDやパスワードを勝手に使ったり、セキュリティホールを突いて管理者権限を奪取したりすることは、たとえ悪意がなくても法律違反になります。常に正規の手順を踏み、適切な権限管理を行うことが、ビジネスにおけるセキュリティの基礎となります。

参考リンク

• 不正アクセス禁止法とは（わかりやすい解説記事）
• Webサイトの脆弱性診断を学ぶ（不正アクセスにならない脆弱性検証の話）
• 不正アクセス行為の禁止等に関する法律（法令データ提供システム）