サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

サイバーセキュリティの法整備について



前回、サイバーセキュリティに関する法整備が進んできた、という近況をご紹介いたしました。引き続き、今回はサイバーセキュリティの法整備に関してご紹介していきたいと想います。

ただ、私は法律の専門家ではありません。おそらく、サイバーセキュリティ.com読者の皆様の多くも法律の専門家ではないかと思います。そのため、技術者としてどのような実務的な配慮をするべきか、といった話題が中心となりますこと、ご了承ください。

 法整備の実例と運用について

1996年、警視庁がベッコアメ・インターネットをわいせつ図画公然陳列容疑で家宅捜査、写真を掲載した男性を逮捕する出来事がありました。これが日本でインターネット上での行為が摘発された初めての事件であると言われています。その後、ネットワークを経由した犯罪が増加・多様化し、2000年、不正アクセス禁止法がそれに対処するために制定されました。

不正アクセス禁止法は2012年に改正され、フィッシング行為が処罰対象となりました。IDとパスワードをだまし取るために偽のSNSサイトを設置した学生が、その初摘発となったことは、覚えている読者もいらっしゃるのではないでしょうか?

サイバーセキュリティの法整備の軸としては、このように不正アクセス禁止法が運用され、改正を加えられてきました。そのほか、以下のような法律がサイバーセキュリティに関連して運用されています。

  • 刑法
  • 著作権法
  • 電気通信事業法電子署名及び認証業務に関する法律
  • 電子署名に係る地方公共団体の認証業務に関する法律
  • 電波法
  • 特定電子メールの送信の適正化等に関する法律
  • 不正アクセス行為の禁止等に関する法律
  • 有線電気通信法

実際の運用の事例としては、総務省の「国民のための情報セキュリティサイト」に詳しく解説されていますので、ぜひ、いちどご覧ください。

【国民のための情報セキュリティサイト】
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/legal/

 罰則の具体例について

さて、自ら不正アクセスに手を染めるなど、明らかに処罰の対象となる行為は、サイバーセキュリティ.com読者の皆様は行うはずはないと思います。そのため、まず気になる点としては、不正アクセスを防ぎきれなかった場合などに、どのような法律上の罰則などが存在するかだと想います。

まず、不正アクセス禁止法に絞ってご紹介を続けます。不正アクセス禁止法では、アクセス管理者の努力義務として、不正アクセス行為を防御するために以下の様な対策が求められています。

  1. ID・パスワード等の適正な管理
  2. アクセス制御機能の高度化
  3. 不正アクセス行為からの防御措置

これらはこうしなければならないといった細則を定めたり、罰則があったりする規定ではありませんが、システム管理者の防御措置は義務である、とご理解ください。

 ログ分析による事件摘発の実例とその重要性

2013年、和歌山県警捜査1課と生活環境課が、大阪・和歌山両府県警のウェブサイトなどに殺害予告などを書き込んだ学生を摘発する事件がありました。この際、県警の捜査員は、海外の複数のサーバを経由して通信経路を分かりにくくする匿名化ソフト「Tor(トーア)」の通信履歴(ログ)を、実に数億行も解析して行動を明らかにしたと語ったと報道されています。従来、システムのログはサイバーセキュリティが侵害された場合の手がかりとして有用であると言われてきましたが、ログの分析が表立って語られることは珍しく注目を集めました。

ところで、ログの保管は、古くから現場のシステム管理者のすべきことの重要項目としてあげられてきました。システムのログを集めることは、サイバーセキュリティの観点からはどのように有用なのでしょうか?

ひとつは、ご紹介の事例のように、不正アクセスが発生した場合の手がかりとして活用することができます。
いつ、誰が、どのように不正アクセスを行ったのか、どのような攻撃を受けたのかを記録しておくことで、もろもろの調査を助け、場合によっては自社へのあらぬ疑いを避けることに役立つ可能性があるといえるでしょう。

また、今後、刑法などにおける証拠として、様々なシステム上のデータが採用されていくことになれば、ログはさらに重視されることになると思われます。

もっとも、現在の一般的な捜査でも、証拠の取り扱いは極めて厳正さを求められることから、仮に、今後、ログが証拠として採用されることが一般化してきた場合には、その取り扱いや正しさなどについても、あらためてルール化がなされ、それに耐えうる技術的な保管がなされるようになると言われています。

サイバーセキュリティ.com読者の皆様としては、当面、できうる限りの注意や配慮をもって、ログの保管などを心がけていただければと思います。次回は、再び、サイバーセキュリティの攻撃手法についてお話しできればと思います。

企業向けインフラエンジニア講座 個人向けエンジニア研修




書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。