不正アクセス禁止法とは?問題点・逮捕の事例を解説、WAFによる効果的な対策を紹介
目次を閉じる
- 不正アクセス禁止法とは
- 不正アクセス禁止法とは
- 不正アクセス禁止法の構成
- 不正アクセス行為
- なりすまし行為
- アクセス制御を免れる行為
- 制御を免れたPCで別のPC・サーバーを利用する行為
- 不正アクセス行為の禁止規定
- 不正アクセス行為の禁止
- 不正アクセス行為を助長する行為の禁止
- 他人のID・パスワードを保管する行為の禁止
- 他人のID・パスワードを入力させる行為の禁止
- 逮捕事例
- アイドルSNSの非公開ページに不正アクセスし閲覧
- 家電量販店アプリで他人のポイントを使用して家電購入
- 同僚の人事処分・評価を盗み見
- 不正アクセス対策にWAFを利用
- 攻撃遮断くん-株式会社サイバーセキュリティクラウド
- XGFirewall(エックスジーファイアウォール)-株式会社ジャパンコンピューターサービス
- AIONCLOUD(エーアイオンクラウド)-株式会社モニタラップ
- DeepSecurity(R)ITProtectionService(ディープセキュリティーアイティープロテクションサービス)-株式会社シーイーシー
- secuWAF(セキュワフ)-株式会社セキュアイノベーション
- BasicIPCC(ベーシックアイピーシーシー)-株式会社ベーシック
- マネージドセキュリティサービスforImpervaIncapsula
- AppGuard(アップガード)(ウイルス対策)-大興電子通信株式会社
- Cloudbric
- SCTSECUREクラウドWAFEXP
- 不正アクセス禁止法を理解して正しいネットの使い方を
- 関連記事
- ボクシルとは
不正アクセス禁止法とは
インターネットの利用が当たり前のものとなっている現在、知らないうちに不正アクセス行為の加害者にも被害者にもなることは十分ありえます。
そのようなネットワーク犯罪に巻き込まれたり、関与したりする危険を回避するためには、不正アクセス行為と不正アクセス禁止法の理解は必須といえます。
以下では、インターネットを正しく使うために、不正アクセス禁止法とそれに関する知識を解説していきます。
不正アクセス禁止法とは
不正アクセス禁止法とは、インターネット上での不正アクセス行為を禁じ、罰則、不正アクセス行為の再発防止のための措置などを定めた法律であり、ネットワークに関する秩序維持と高度ネットワーク社会の健全な発展に寄与することを目的として1999年に制定されました。
また、サイバー犯罪の危険性の急増を背景に2013年に改正もされています。
不正アクセス禁止法の構成
不正アクセス禁止法の構成は、不正アクセスを行う者に対する禁止規定、罰則規定とアクセス管理者などの不正アクセスを防止する側に対して、防止対策を行うことを求める努力規定という2つの側面から構成されます。
それでは法律で禁止されている不正アクセス行為とは実際にはどのようなものがあるのでしょうか。実際の行為について、以下で解説していきます。
不正アクセス行為
不正アクセス行為の3類型について説明します。
なりすまし行為
アクセス制限機能により利用制限されているコンピュータの利用の場合、IDやパスワードの利用が必要になってきます。
この際、他人のIDやパスワードを盗み出し無断で用いることによって他人になりすます行為は、不正アクセス行為のひとつであり、罰則の対象となります。
アクセス制御を免れる行為
本来IDやパスワードによる制限のあるアクセス制御を無断に突破し、IDやパスワードを用いずにサーバーやPCを利用する行為のことを指し、これも不正アクセス禁止法によって禁じられています。
制御を免れたPCで別のPC・サーバーを利用する行為
上記のアクセス制御を免れる行為を利用し、アクセス制御がなされたPCやサーバーへのアクセスを行う行為のことで、ある意味でアクセス制御のゆるいPCを経由して、アクセス制御がしっかりとなされた部分に入っていく行為です。
これは、会社のサーバーに直接入っていくのはアクセス制御がしっかりとしており困難なので、ID・パスワードが容易に推定できるような制御がゆるい個人のPCを経由して会社のサーバーに侵入することなどが代表的な例として挙げられます。
不正アクセス行為の禁止規定
では、不正アクセス行為を不正アクセス禁止法はどのように禁じているのでしょうか。
以下で、その規定について詳しく解説していきます。
不正アクセス行為の禁止
3条では不正アクセス行為をしてはならないとされており、それに違反した者は、11条により、3年以下の懲役または100万円以下の罰金を科せられます。
不正アクセス行為を助長する行為の禁止
他人のID、パスワードを権限のない第三者に提供するような行為も5条により禁止されます。罰則は12条で定められており、一年以下の懲役または五十万円以下の罰金に処されます。
他人のID・パスワードを保管する行為の禁止
権限なく他人のID、パスワードを持っている行為も6条で禁止されています。罰則は上記と同様で12条で定められています。
他人のID・パスワードを入力させる行為の禁止
7条では不正に他人のID・パスワードを入力させる行為を禁止しています。罰則は上記と同様に12条で定められています。
これはたとえば、銀行のログイン画面を偽装して、銀行のログインID、パスワードを入力させる行為などが該当します。
逮捕事例
それでは実際に不正アクセス行為によって起こった逮捕された事例を紹介していきます。
アイドルSNSの非公開ページに不正アクセスし閲覧
容疑者は県の職員であり、職務上管理していた個人情報をもとに、アイドルのSNSパスワードを割り出し<非公開ページを覗き見たとして不正アクセス禁止法違反によって逮捕されました。
家電量販店アプリで他人のポイントを使用して家電購入
容疑者は家電量販店の顧客情報管理サーバーに不正にアクセスして、他人に成りすまし、その人が貯めていたポイントでゲーム機を詐取したという事件です。
サーバーに不正アクセスした行為により不正アクセス禁止法違反、また本来は使用できない他人のポイントを使用してゲーム機を購入したことを理由として詐欺罪に問われた事例です。
同僚の人事処分・評価を盗み見
大阪府職員が人事課職員のパスワードを入手し、認証サーバーにアクセスして同僚の人事処分・評価を盗み見たとして、不正アクセス禁止法違反によって逮捕されました。
この事例では、人事課職員のパスワードが職員番号または職員番号と任意の数字の組み合わせであり、推測してアクセスしたと供述しているそうです。
こんな自体を防ぐためにもワンタイムパスワードなどを使用するなどの対策が必要となってきます。
不正アクセス対策にWAFを利用
上記で紹介した事例ではパスワードが容易に推測できることが事件の発端になっているケースが多いことから、難しいIDやパスワードを使用するというのが1つの対策にはなりますが、さらに対策を強化するには WAFを利用するのもよいです。
WAFは、不正アクセスを防ぐためのファイアウォールのひとつで、Webアプリケーションのやり取りを把握・管理することによって不正侵入を防御できます。
それでは以下でおすすめのWAFサービスを10つ紹介します。
また、今回紹介したサービスや紹介しきれなかったWAFについてもっと詳しく知りたい方は以下からご覧になれます。ぜひダウンロードしてみてください。
攻撃遮断くん - 株式会社サイバーセキュリティクラウド
画像出典:攻撃遮断くん公式サイト
- あらゆるWebシステムに導入可能
- クラウド型WAFで唯一の定額プラン
- 自社開発だからできる万全のサポート体制
攻撃遮断くんは、サイバーセキュリティクラウドが提供するサーバへのあらゆる攻撃を遮断できるクラウド型のWAFサービスです。外部からの攻撃による情報の漏えいや、Web情報の改ざん、サービスの妨害などのさまざまな被害を未然に防ぐことが可能です。
XG Firewall(エックスジーファイアウォール) - 株式会社ジャパンコンピューターサービス
画像出典:XG Firewall公式サイト
- 単一のコンソールですべてのSophos製品を管理
- Intercept Xとのリアルタイム統合が可能
- 大企業から教育機関まであらゆる環境に適応
Sophos Firewallは、業界初の独自のセキュリティ機能を兼ね備えた次世代ファイアウォールです。専用アプライアンスによる柔軟性、接続性、信頼性を備え、多彩な機種で利用できます。リアルタイム統合でアプリの可視化、脅威の監視と自動隔離を実現し、オールインワンでの保護が可能です。大企業や教育機関といったさまざまな環境に対応しており、ユーザーごとの規模感にあわせた機能と価格で利用できるので、コスト削減にもつながります。
AIONCLOUD(エーアイオンクラウド) - 株式会社モニタラップ
画像出典:AIONCLOUD公式サイト
- 直感的なUIで、シンプルな管理機能
- 世界レベルの脅威情報共有基盤
- 月々4,000円~、圧倒的な低コスト
AIONCLOUDは、累積出荷台数15,000台の実績を誇るクラウド型WAFサービスです。ウェブサイトのトラフィックや訪問回数、受けた攻撃などの詳細なステータスをリアルタイムで監視でき、あらゆる攻撃からウェブサイトを保護します。
マルウェアを検出した場合は素早い対応で拡大を防止し、脅威を学習することで未知の不正に対してもセキュリティ保護ができます。また、世界40ヵ所のIDCにサービスインフラを保有し、脅威インテリジェントを自動で更新し続けます。
Deep Security(R) IT Protection Service(ディープセキュリティー アイティー プロテクション サービス) - 株式会社シーイーシー
画像出典:Deep Security(R) IT Protection Service公式サイト
- オールインワンでセキュリティ対策
- セキュリティ業務の一部委託が可能、自社の負担を軽減
- 最短3営業日で導入可能
Deep Security(R) IT Protection Serviceは、さまざまなセキュリティ対策をオールインワンで対応するクラウドサービスです。セキュリティルールやシグネチャは毎日配信され、最新の脅威に関する情報は毎週自動で生成・配布されます。一部セキュリティ業務を代行するサービスも用意されており、保護対象サーバーの設定やセキュリティ状況の調査、定例オペレーションなど自社の業務負担の軽減が期待できます。また、オプションでオートスケール機能により追加されたサーバーを保護したり、ログやアラート機能の設定も追加可能です。
secuWAF(セキュワフ) - 株式会社セキュアイノベーション
画像出典:secuWAF(セキュワフ)公式サイト
- 強力なセキュリティ機能でWebサイトを保護
- マルウェアの感染をチェックする定期巡回を実施
- 自動アップデートで常に最新の脅威に対応
secuWAF(セキュワフ)は、強力なセキュリティ機能でWebサイトを守るオールインワン型のクラウドWAFです。WAF以外のセキュリティ機能も充実しており、マルウェアの感染をチェックする定期巡回も実施されます。クラウドWAFのため、エンドユーザーの負担を限りなく減らした管理や運用が可能です。自動アップデートにより、常に最新のセキュリティ機能であらゆる脅威に対応できます。
Basic IPCC(ベーシックアイピーシーシー) - 株式会社ベーシック
- 社内外を自動判別し、デバイスの不正利用を防止
- 通信手段を制限し、情報流出やマルウェア感染を防ぐ
- 自社での設定変更作業は不要
Basic IPCCは、デバイスからのインターネット接続状況を判別し、無断接続や不正アクセスを防ぐツールです。社用PCが社内・社外のどちらから接続してきているのか、フリーWi-Fiや通信カードなど、どんな手段で接続してきているのかを自動で判別。許可された接続方法以外でのアクセスは、自動的にシャットアウトします。
デバイスのGPS情報から社内・社外を自動判別し、社外と判定された場合のみ、必要に応じてアクセス制限を実行。各種設定変更はベンダー企業に依頼でき、自社担当者や従業員が設定を操作する必要はありません。
マネージドセキュリティサービス for Imperva Incapsula
- 専門アナリストによるアラート分析
- レポートでセキュリティ情報把握
- チューニング設定代行で負荷軽減
マネージドセキュリティサービス for Imperva Incapsulaは、ソフトバンク・テクノロジーのクラウドWAFサービス「Imperva Incapsula」の運用・監視をセキュリティ専門アナリストが24時間365日代行してくれるマネージドサービスです。アラートを検知すると、専門アナリストが内容を分析して重要なアラートだけを通知してくれます。独自のフォーマットによるレポートで、 Incapsulaの統計情報やインシデント履歴情報などの把握が可能です。Incapsula の設定変更やチューニング設定も代行してもらえるので、自社の負荷軽減とシステム最適化を同時に図れます。
AppGuard(アップガード)(ウイルス対策) - 大興電子通信株式会社
画像出典:AppGuard公式サイト
- 「OS Protect型(防御型)」製品
- 特許技術の「自動継承」により簡易な設定で利用可能
- NISCガイドライン準拠製品
AppGuard(アップガード)は、不正なアプリの起動防止やマルウェアの侵入経路となるアプリケーションのプロセスを監視する事で、マルウェアの感染を防止する対策ソフトです。従来のアンチウィルス製品のようにマルウェアを検知し駆除するのではなく、システムへの攻撃を防御する製品です。防御型製品のため、未知・既知関係なくシステムを脅威より防御することが可能です。また、内閣サイバーセキュリティセンター(NISC)ガイドラインに「単体製品」で準拠しています。
Cloudbric
- Webサイト向けのセキュリティ・ソリューション
- アジア・パシフィック地域のWAFシェアNo.1
- クラウドで導入・運用コスト削減
Cloudbric(クラウドブリック)は、クラウド型のWebセキュリティ・ソリューションサービスです。Webサイトとドメインさえあればすぐに導入が可能です。また、使っているプロバイダを変える必要はありません。サイトへの不正アクセスを種類別にダッシュボードで表示し、WebハッキングやWeb改ざん、DDoS攻撃を遮断します。月単位での利用ができます。
SCT SECURE クラウドWAF EXP
- ポリシーチューニングが簡単
- 短期間の急激なアクセス増加にも対応可能
- コンテンツキャッシュ機能
SCT SECURE クラウドWAF EXPは、Webアプリケーションへの攻撃やDDoS攻撃を防ぐWAFサービスです。
WAFポリシー推奨機能を搭載しており簡単にポリシーチューニングができます。ネットワークが安定しているので短期間の急激なアクセス増加にも対応可能です。WAF機能に加えコンテンツキャッシュ機能を搭載しているため、Webサーバへの負荷が軽減されます。
不正アクセス禁止法を理解して正しいネットの使い方を
これまで不正アクセス禁止法とその対策について解説してきました。
不正アクセスの加害者にも、被害者にも簡単になってしまうことがわかっていただけたでしょうか。
そのどちらにもならないために、不正アクセス禁止法および不正アクセス対策についてしっかりとした理解をすることが重要です。
関連記事
ボクシルとは
ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。
「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」
そんな悩みを解消するのがボクシルです。
マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。
ボクシルとボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト・高効率・最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。
また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。
[toc]
