メニュー
チョイス
オススメのサイト
>>CompTIA
ワールドワイドなIT業界団体である「CompTIA(コンプティア)」の公式サイトです。IT関連業務の実務能力基準の認定活動などを行っています。
>>ISACA
情報システム監査、情報セキュリティ、ITガバナンスやリスク管理などの国際的専門団体「ISACA」の公式サイトです。
セキュリティエンジニアに必要なもの
セキュリティエンジニアとして情報セキュリティ対策に熱心なあまり、いつの間にか一線を越えているといったことのないように、社会の常識としての法律を知ることも大切です。例えば「個人情報保護法」もさることながら、「特定電子メール送信適正化法」、「プロバイダ責任制限法」、「高度情報通信ネットワーク社会形成基本法(IT基本法)」、「不正アクセス禁止法」など、急速に高度情報通信ネットワーク社会へと変化を遂げた、日本の社会の実情に合わせるように、法律の整備も着実に進んでいるのです。
例えば「不正アクセス禁止法」は、昨今何かと問題になることの多い「不正アクセス行為」を、第2条第4項において、「アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)」、または「アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)」、または「電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為」のいずれかに該当する行為と定めています。
つまり他人のIDやパスワードを使って、あるいは脆弱性を突くことによってIDやパスワードを使うことなくログインすることが、「不正アクセス行為」として罰せられてしまうのです。このため例えば、あるサイトの欠陥を指摘するために、そこで得られた個人情報を公開したという事件や、総当たりでIDとパスワードの組み合わせを入力する自作のプログラムを、とある証券会社のサーバーに試したという事件も起きており、いずれも有罪となっています。また退職者による不正アクセスの事例も、少なからず発生しています。
