セキュリティの
学び場

不正アクセスの概要

不正アクセスと一言で表してもその行為はさまざまです。例えば、本来アクセス権のないWebサイトやサーバなどのコンピュータ機器、IoTを含むあらゆるネットワーク機器に対して不正にアクセス、ログインする行為や、本来の意図とは異なる指示、コマンドを強制させる行為、データを不正に入手、改ざん、破壊する行為などが挙げられます。

元々、コンピュータ犯罪に関する法律には、電子計算機損壊等業務妨害（刑法第234条の2）と電子計算機使用詐欺（刑法第246条の2）によって、「サーバなどのコンピュータそのもの、もしくはデータの破壊や、不正なコマンドを実行させることで影響を与える行為」、「サーバなどのコンピュータのデータを不正に書き換えたり、改ざんする行為」が取り締まられていました。

不正アクセス禁止法からみる、セキュリティ対策の重要性

インターネット社会が発展するに伴い、社会通念上許されない行為でも実被害が発生しない限り刑罰の対象とならないような不正アクセス行為が問題化しました。例えば、本来アクセス権のない非公開サイトを閲覧する、 非公開サイトを不正に閲覧することで利益を享受する、不正に入手したID/PW、機微情報を公開する、等の行使について、必ずしも刑罰の対象とはならなかった時期がありました。

これらの課題解決に向け、2002年に施行、2012年に改正された「不正アクセス行為の禁止等に関する法律（いわゆる不正アクセス禁止法）」では不正アクセスの刑罰の対象がより厳密になりました。これにより、具体的な実被害が発生していなくても、本来アクセス権のないサーバやWebサイトに不正にアクセスした、という事実だけで罰則の対象となります。

この不正アクセス禁止法では、コンピュータやネットワークを利用する各企業に対し「適切なセキュリティ対策の実施と維持を行うこと」を努力目標として提示しています。このことから、仮に不正アクセスによる実被害が発生した場合でも、被害企業に対して「セキュリティ対策を適切に行わなかった過失」、すなわち「不正アクセスによる被害を予見できなかった責任」が強く問われる可能性もあります。

特にここ数年では不正アクセス禁止法による検挙件数は増加傾向(※1)にあり、攻撃の試みが増加していることを窺い知ることができます。令和元年はその4年前の平成27年と比較して2倍の検挙件数であることからも、これら不正アクセスによる被害を対岸の火事とせず、常に適切なセキュリティ対策が施されるよう努力することが非常に重要となります。

企業のWebサイトやサーバ、コンピュータに正しいセキュリティ対策を実施し維持するためには、定期的な脆弱性診断によるセキュリティリスクの可視化と対処が効果的です。また、近年はクラウド環境のプラットフォームにおけるアクセスコントロール設定の不備による情報漏洩、不正アクセス被害も後を絶たないことから、クラウドに対する定期的な脆弱性診断も重要です。

※1 参考「令和2年 犯罪白書」 p171 (http://www.moj.go.jp/content/001338452.pdf)