こんにちは！
Marvel株式会社 広報の渡邊です🌸

本日も私がITパスポート勉強で学んだ内容をアウトプットしていきます🔥🔥
今回はサイバーセキュリティ基本法や不正アクセス禁止法などのセキュリティ関連法規について『【令和5年】いちばんやさしいITパスポート 絶対合格の教科書＋出る順問題集』をベースに学習していきました💡

セキュリティは会社の信憑性やブランド価値を大きく左右し、適切なセキュリティ対策を講じることで、企業は重大なリスクを回避し、持続可能な事業運営を実現できます。セキュリティは現代のビジネスにおいて不可欠な要素となっています。

弊社でも定期的に全社員を対象にセキュリティテストを行い、社員一人一人のセキュリティへの認識を深化させています。

本記事を通して、ITパスポートの学習者だけでなく、皆さまにとってもより一層セキュリティへの理解が深まるきっかけになれたらと思います！

1｜サイバーセキュリティ基本法

サイバーセキュリティ基本法とは、サイバー攻撃から国を守るために2014年に制定された法律。
この法律は、急速に変化するサイバー脅威に対応し、各国でサイバーセキュリティ対策を推進するための基本的な枠組みを決定します。2021年には改正も行われ、社会のデジタル化に伴う新たな課題に対応しています。

この法律の対象者は国全体であり、国、地方公共団体、企業、国民のすべてが対象になります💡

■ 実際の出題例

例題（ITパスポート 令和2年秋期 問25より）
【問25】サイバーセキュリティ基本法は、サイバーセキュリティに関する施策に関し、基本理念を定め、国や地方公共団体の責務などを定めた法律である。記述a～dのうち、この法律が国の基本的施策として定めているものだけを全て挙げたものはどれか。
a.国の行政機関等におけるサイバーセキュリティの確保
b.サイバーセキュリティ関連産業の振興及び国際競争力の強化
c.サイバーセキュリティ関連犯罪の取り締まり及び被害拡大の防止
d.サイバーセキュリティに係る人材の確保

選択肢：
ァ｜a
イ｜a,b
ウ｜a,b,c
エ｜a,b,c,d

皆さまも答えを予想してみてください💡

サイバーセキュリティ基本法では、日本のサイバーセキュリティに関する基本的対策として次の12個の事項を定めています。
1．国の行政機関等におけるサイバーセキュリティの確保
2．重要社会基盤事業者等におけるサイバーセキュリティの確保の促進
3．民間事業者及び教育研究機関等の自派的な取り組みの促進
4．多様な主体の連携等
5．サイバーセキュリティ協議会の組織
6．犯罪の取締り及び被害の拡大の防止
7．我が国の安全に重大な影響を及ぼす恐れのある事象への対応
8．産業の振興及び国際競争力の強化
9．研究開発の推進等
10．人材の確保等
11．教育及び学習の振興、普及啓発等
12．国際協力の推進等
（引用｜https://www.itpassportsiken.com/kakomon/02_aki/q25.html）

a～d全てが当てはまるため、正解はエです💡

2｜システム管理基準

システム管理基準とは、経済産業省が策定した情報システムの適切な管理のための留意すべき基本的事項を体系化・一般化したガイドラインであり、「情報システム戦略を立案し、リスクをコントロールするための実践規範」です。

■ 実際の出題例

例題（ITパスポート 平成26年春期 問6）
"経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき、効果的な情報システム投資のための、またリスクを低減するためのコントロールを適切に整備・運用するための実践規範はどれか。

選択肢：
ァ｜システム監査基準
イ｜システム管理基準
ウ｜情報セキュリティ監査基準
エ｜情報セキュリティ管理基準

皆さん、答えはもうお分かりかと思いますが、似ている言葉が選択肢があり引っかかってしまいそうですね💦
他の選択肢の言葉についても調べてみました🔍

システム監査基準：
システム監査の品質と信頼性を集めるために経済産業省が策定した、監査人の行為規範と監査手続きに関する指針。
情報セキュリティ監査基準：
組織の情報セキュリティマネジメントの適切性・有効性を客観的に評価し、経済産業省が策定した監査人向けの基準。
情報セキュリティ管理基準：
組織の情報資産を保護するための管理策や手順を定めたガイドラインのこと。

…ということで、答えはイのシステム管理基準です💡

3｜不正アクセス禁止法

■ 不正アクセスとは

不正アクセスとは、許可を得ずに他人のコンピューターやネットワークに侵入し、データを窃取したり改めたりすることなどの違法行為のこと。
不正アクセス禁止法は「ネットワークを通じたアクセス」のみを対象としています👀

■ 不正アクセス禁止法の対象となる行為

1. なりすましによるアクセス
   他人の識別記号を無断で利用しアクセスする行為
2. セキュリティホールを攻撃してアクセス制御を突破する行為
   セキュリティホールとは、ソフトウェア（アプリケーション）や OS などのプログラムに生じた不具合や、設計上のミスによって発生する情報セキュリティの穴（欠陥）のこと
3. アクセス制御機能がある特定の電子計算機に対する他人の識別記号を無断で誰かに教える行為
4. 他人の識別記号を不正に取得・保管する行為
   実際に不正アクセスをしなくても不正アクセスをするために他人のIDとパスワードを取得した時点で処罰の対象になる。

■ 実際の出題例

例題（ITパスポート 令和2年秋期 問13）
情報の取り扱いに関する不適切な行為a～cのうち、不正アクセス禁止法で定められている禁止行為に該当するものだけを全て挙げたものはどれか。
a.オフィス内で拾った手帳に記載されていた他人のIDとパスワードを無断で使い、ネットワークを介して自社のサーバーにログインし、サーバーに格納されていた人事評価情報を閲覧した。 b.自分には閲覧権限のない人事評価情報を盗み見するために、他人のネットワークIDとパスワードを無断で入手し、自分の手帳に記録した。 c.部門の保管庫に保管されていた人事評価情報が入ったUSBメモリを上司に無断で持ち出し、自分のPCに直接接続してその人事評価情報をコピーした。

選択肢：
ァ｜a
イ｜a,b
ウ｜a,b,c
エ｜b,c

皆さん、答えは出ましたか？

今回は先に答えを発表します！
正解は、、、

aとbが該当するためイが正解となります💡
前述の「不正アクセス禁止法の対象となる行為」をもとに解説をすると、aはなりすましによるアクセスに該当し、bは他人の識別記号を不正に取得・保管する行為に該当します。

反対にcは他人の識別記号や認証情報を利用していないことや、USBメモリにアクセス制御機能が設けられていないため該当しません。ただし、何らかの不法行為等に該当する可能性は十分にあります🙅🏻

今回はここまで😳😳

サイバーセキュリティ基本法や不正アクセス禁止法など、普段あまり意識していない法律が、実は私たちのネット生活の指針になっています。

特に印象に残ったのは、不正アクセスの定義や禁止される行為についてです。単に「悪い」という漠然とした理解から、具体的にどのような行為が法律で禁止されているのかを知ることができてよかったです✨

IT パスポートの勉強は、単なる資格取得だけでなく、実務に直結する知識の蓄積だと勉強を重ねる度に感じます。私個人は勿論ですが、セキュリティは社員全員が理解しておくべき知識だと思うので、学んだことを社内でも積極的に発信していこうと思います！

最後までご覧いただきありがとうございました🙌🏻🙌🏻

参考：

https://www.itpassportsiken.com/kakomon/02_aki/q25.html

https://secure-navi.jp/blog/000037

https://www.itpassportsiken.com/kakomon/23_toku/q6.html

https://elaws.e-gov.go.jp/document?lawid=426AC1000000104