平成27年度 秋期 ITパスポート試験 公開問題 問28 解説 不正アクセス禁止法

この問題は、法律が定める「アクセス管理者の努力義務」を知識として知っているかを問うものです。不正アクセス禁止法において、管理者が行うべきとされるのは、単なるログ保存や監視ではなく、防御機能が正しく働いているかを定期的にチェックする行為です。

不正アクセス禁止法における管理者の責務

不正アクセス禁止法では、アクセス管理者は不正アクセス行為の発生を防止するため、アクセス制御機能（IDとパスワードの管理、ファイアウォールの設定など）を適切に構築・運用するよう努めなければならないとされています。

この義務を果たすために、具体的に何をすべきかという指針が経済産業省のガイドライン等で示されており、そこでは「アクセス制御機能の有効性を定期的に検証し、必要に応じて見直しを行うこと」が重要な柱として挙げられています。

選択肢を比較すると、以下のようになります。

・ア：正解です。機能が正しく動作しているかを確認し、不備があれば修正するプロセスは、管理者として必須の防御策です。 ・イ：アクセスログの提出義務はありません。ログは必要に応じて調査のために活用するものであり、定期的な提出は求められていません。 ・ウ：常時監視は推奨される対策の一つですが、人員を常時複数配置しなければならないという法的な義務規定ではありません。 ・エ：パスワードの定期変更は、現在の情報セキュリティの考え方では「複雑なパスワードを設定し、流出が疑われる場合に変更する」ことが推奨されており、一律の定期変更は必ずしも強く推奨されないケースが増えています。

実務現場におけるアクセスコントロールの重要性

この知識は、実際のIT現場において「作って終わりにしてはいけない」という戒めとして活用されます。どれほど強固なシステムを構築しても、設定ミスやソフトウェアの脆弱性によって穴が開くことはあります。

教育的意図としては、システム管理者には「設計」だけでなく「検証（モニタリングと評価）」がセットで求められることを理解させることにあります。例えば、社内のセキュリティポリシーを策定する際や、定期的な脆弱性診断を行う際に、「法的な観点からも管理者は有効性を検証し続ける必要がある」という根拠を持って業務を遂行することが重要です。

知識を深めるためのリソース

参考リンク

• 情報セキュリティ基本方針の策定と運用
• 【ITパスポート】不正アクセス禁止法とは？対策やポイントを解説
• 不正アクセス行為の禁止等に関する法律