STOP!不正アクセス
~不正アクセスに対するセキュリティ対策を~
「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)が平成12年2月13日から施行されています。
- 不正アクセス行為を認知したときは、直ちにセキュリティ責任者に報告しましょう。
- 攻撃を受けた対象、不正アクセス検出の結果、ログイン時ログ等、その後の監督又は調査に必要な情報を、認知時点の状態で保存しましょう。
- 警察等への通報が必要なときは、直ちに通報しましょう。
- 復旧を行うに当たっては、作業の経過を記録しましょう。
1.「不正アクセス行為」の禁止(法第3条)
- 他人のIDやパスワードなど(識別符号という。)を無断で使用する行為(なりすまし行為)。
- 電気通信回線を通じ、他人のIDやパスワードなどを入力して、他のコンピュータにログインする行為。
- サーバのセキュリティホールなどを攻撃して、コンピュータに侵入する行為(セキュリティ・ホールを攻撃する行為)。
- 電気通信回線を通じ、特殊なデータなどを入力して、他のコンピュータのアクセス制御機能を回避して侵入する行為。
- 罰則:3年以下の懲役又は100万円以下の罰金(法第11条)
2.他人のIDやパスワードなどを不正に取得する行為の禁止(法第4条)
- 不正アクセスに使用する目的で他人のIDやパスワードなどを取得する行為。
- 罰則:1年以下の懲役又は50万円以下の罰金(法第12条)
3.不正アクセス行為を助長する行為(法第5条)
- ⑴相手が不正アクセスに使用する目的であることを知った上で他人のIDやパスワードを提供する行為。
罰則:1年以下の懲役又は50万円以下の罰金(法第12条第2号)
- ⑵他人のIDやパスワードなどを口頭、ホームページへの掲載等、方法を問わず、他の第三者に教えたり、わかるように明示するなどの行為。
罰則:30万円以下の罰金(法第13条)
4.他人のIDやパスワードを不正に保管する行為の禁止(法第6条)
- 不正アクセスに使用する目的で不正に取得された他人のIDやパスワードを保管する行為。
- 罰則:1年以下の懲役又は50万円以下の罰金(法第12条)
5.IDやパスワードの入力を不正に要求する行為の禁止(法第7条)
- 「IDやパスワードの入力を求める情報」を公衆が閲覧できる状態に置いたり、電子メールにより利用権者に送信する行為(フィッシング行為)。
- 1年以下の懲役又は50万円以下の罰金(法第12条)
1.アクセス管理者による防御
不正アクセス行為からコンピュータを防御するため、以下の努力がアクセス管理者に求められます。
JPCERT/CC(コンピュータ緊急対応センター、URL:http://www.jpcert.or.jp/(JPCERT コーディネーションセンター)(外部サイトへリンク)コンピュータ緊急対応センターのホームページへ)等の不正アクセス対策関連団体の提供する情報に注意して不正アクセス行為に備えましょう。
2.公安委員会による援助
公安委員会は、不正アクセスを受けたコンピュータのアクセス管理者から援助の申出を受けた場合、その申出を相当と認めたときには、アクセス管理者が再発を防止するため必要な応急の措置を的確に講じることができるように、必要な援助を行います。
援助の申出を行うには、以下のような資料、物件を援助申出書に添付して行うこととなります。
- ネットワーク構成図、自サイト内のサーバ、ルータ、モデム、及びこれらのネットワーク上の配置図(IPアドレスを含む)
- ルータ、サーバのOS、動作しているプログラムの名称・ベンダー・バージョンの構成表
- システムログ
- 不正アクセスを示す客観的な資料
- システムの使用方法
- ネットワーク接続業者名、所在地、連絡先
- アクセス管理者の氏名、住所、連絡先
- システム導入元業者名・所在地・連絡先
一般的な対策方法の例
外部との接続の制限
- (1)厳重設計、保守整備されたファイヤーウオールの設置
- (2)リモートアクセスの適切な管理
監視ログ
- (1)ログを取得すること。ログの内容は、少なくともアクセスした者を特定可能ものであること。
- (2)ログ自体のセキュリティを確保すること。
- (3)ログを定期的に監査すること。
- (4)ログは、次回の監査まで保管すること。
不正アクセス検出機能
- 不正アクセスが行われた場合に、これを検出し、危機管理責任者に知らせる機能を設けること。
その他
- (1)ネットワーク及びホスト等の状態を監視する機能を設けること。
- (2)端末を利用したアクセスについて当該端末を特定する機能を設けること。
- (3)異状がある場合に、ネットワーク及びホスト等の機能を停止させることができる機能を設けること。
パスワード
- (1)ユーザには、必ずパスワードを設定させ、その秘匿に努めさせること。
- (2)他者が容易に推測できる語句等をパスワードとして設定しないようユーザを指導し、又は設定を拒否する機能をシステムに設けること。
- (3)パスワードを適切な期間ごとに変更するようユーザを指導し、又は変更を促す機能をシステムに設けること。
- (4)パスワードの再入力の回数を制限するなど、他者によるパスワードの推測を困難にするための措置を講ずること。
- (5)ユーザがパスワードを忘れたときなどに、パスワードを通知する場合に備え、本人確認の方法等について手続を定めておくこと。
ネットワーク・アクセス
- (1)ログインに際し、識別及び認証を行うこと。
- (2)認証の手段については、当該情報システムに求められるセキュリティに応じ選択すること。
- (3)前回のログインの日時を確認できる機能を設けること。
ユーザID管理
- (1)退職、異動、長期出張、長期留学等により、不要となり、又は長期使用されないユーザIDについては、廃止等の措置を講ずること。
- (2)長期間ログインが無いユーザに対して、文書等によりその旨を通知すること。
- (3)ユーザから要求があったときは、当該ユーザによる使用状況を開示すること。
暗号化
- (1)通信を行うときは、必要に応じデータ等を暗号化すること。
- (2)暗号鍵の保管を適切に行うこと。特に、ユーザの暗号鍵を集中的に管理する場合は、その保管の適正を図ること。
データ管理
- (1)データ交換に先立ち、意図する通信相手であることを確認するため認証を行うこと。
- (2)デジタル署名等によりデータの完全性の確認を行うこと。
- (3)データが送信されたこと、受信されたこと等を証明し、これらの否認を防止できる機能を設けること。
- (4)ユーザの暗号鍵の集中的な管理について保管の適正を図ること。