平成30年度 春期 ITパスポート試験 公開問題 問21 解説 不正アクセス禁止法

この問題は「不正アクセス禁止法」の定義を問う知識問題です。正解を導くための鍵は、法律が具体的にどのような行為を「不正アクセス行為」と定義しているかを正確に把握することです。

まず、aについては「ネットワークを通じて」という文脈があるため、他人のIDやパスワードといった「識別符号（認証情報）」を無断で使用してログインする行為が当てはまります。一方、bについては、ネットワークを介さない物理的な操作は対象外であること、および「他人の認証情報を第三者に教える（不正アクセス助長行為）」も禁止されているという周辺知識を組み合わせる必要があります。

不正アクセス禁止法における「不正アクセス行為」の定義は、主に以下の2つに分類されます。

1. 識別符号によるもの 他人のIDやパスワードなどの識別符号を、その保有者の許可なく入力してアクセスする行為。また、自分の許可された範囲を超えて、他人の識別符号を利用してアクセスする行為も含まれます。

2. セキュリティホールを攻撃するもの コンピュータの脆弱性（セキュリティホール）を突く攻撃プログラムを送り込み、本来アクセス権限のないシステムへ侵入する行為。

今回の問題のポイントは、法規制の対象がネットワーク経由の行為に限定されている点です。選択肢にある「他人のPCを直接キーボードから操作する」といった物理的な侵入は、この法律の「不正アクセス行為」には直接該当しません（ただし、別の法律で処罰の対象となります）。

一方で、不正アクセス禁止法では、不正アクセス行為そのものだけでなく、それを助長する行為も禁止しています。その代表例が「他人の識別符号を第三者に提供すること（漏洩）」です。問題の文脈において、bに該当する行為として最も適当なのは、この助長行為にあたる内容です。

試験対策としては、以下の3つの禁止事項をセットで覚えておくと非常に効率的です。

• 不正アクセス行為そのもの
• 不正アクセス行為を助長する行為（IDやパスワードを不正に取得・保管・提供する行為）
• 不正アクセス行為を目的として、他人のIDやパスワードを求めたり、入力させたりする行為

これらは実務においても重要です。例えば、社員が自分のIDを同僚に教える行為は、セキュリティポリシー違反であるだけでなく、この法律が禁止する「提供」にあたるリスクがあることを理解しておきましょう。

• 不正アクセス禁止法とは（国民のための情報セキュリティサイト）