はじめに
近年、不正アクセス事件は後を絶ちません。
こうした状況を踏まえ、1999年に「不正アクセス禁止法」が施行され、その実効性を高めるために総務省が策定したのが 「コンピュータ不正アクセス対策基準」 です。
本記事では、SG試験対策としての知識整理します。
1. コンピュータ不正アクセス対策基準とは?
- 不正アクセス禁止法を補完するガイドライン
- 利用者 と 管理者 の双方に求められる責務を整理
- 法律そのものではないが、セキュリティポリシー策定の基本指針
2. 対策の三本柱
(1) 利用者の責務
- ID・パスワードを他人に教えない
- パスワードの使い回し禁止、推測困難なものを設定
- 定期的なパスワード変更
- 他人のIDを利用しない
試験例:「利用者が自分のIDを友人に貸した」→ 不正アクセスに該当
実務例:企業のセキュリティ教育で「パスワード管理チェックリスト」を配布
(2) 管理者の責務
- アカウント管理(発行・失効の適正化)
- 不正アクセス防止機能(ファイアウォール・認証強化)
- ログの保存と監視
- セキュリティポリシー策定と利用者への周知
試験例:「退職者のアカウントを削除しない」→ 管理者の不備
実務例:Active Directoryで自動失効ルールを設定
(3) 技術的対策(システム側)
- 多要素認証の導入
- 通信の暗号化(TLS/SSL)
- IDS/IPSによる侵入検知・防御
- 定期的な脆弱性診断とパッチ適用
試験例:「IDS/IPSはどのフェーズの対策?」→ 検知・防御
実務例:クラウド利用時にWAF+IDaaS(認証サービス)を組み合わせる
3. SG試験でのポイント
- 「利用者がIDを他人に教える」=不正アクセス行為
- 「管理者は利用者に強固なパスワード利用を指導する」=責務
- 「管理者はアクセスログを保存・監視する」=責務
- 法律ではなくガイドラインである点を区別
4. 全体イメージ図
まとめ
-
コンピュータ不正アクセス対策基準は
- 利用者の責務
- 管理者の責務
- 技術的対策
の3本柱で整理される。
- SG試験では「これは利用者?管理者?システム?」という分類問題が多い。
- 実務では セキュリティ教育・アカウント管理・技術導入 の全てを組み合わせて運用することが重要。