不正アクセス行為に遭わないために
~ ア ク セ ス 管 理 者 用 セ キ ュ リ テ ィ マ ニ ュ ア ル ~
愛知県警察本部
サイバー犯罪対策課
~目次~
内 容 頁 1 不正アクセス禁止法の概要 1 1-1 不正アクセス禁止法の概要 1 1-2 不正アクセス禁止法で禁止されている行為(抜粋) 2 1-2-1 他人に成り済ます行為 2 1-2-2 セキュリティホールを突く行為 2 1-2-3 不正アクセスを準備する行為等 3 1-3 不正アクセス行為に対する援助等の措置 4 2 不正アクセスに遭わないための対策 5 2-1 アクセス管理者による防御措置(法8条) 5 2-1-1 識別符号の適切な管理 5 2-1-2 サーバの適切な管理 5 2-1-3 外部との接続の制限 6 2-1-4 データのバックアップ 6 2-1-5 ログの安全な保存及び監査 6 2-1-6 不正アクセスの検知 6 2-1-7 参考URL等 7 2-2 不正アクセス行為を受けたときは 7 2-3 その他 7 別添 別記様式(第1条関係) 援助申請書 その1 別記様式(第1条関係)援助申請書 その21 1 不正アクセス禁止法の概要 1-1不正アクセス禁止法の概要 (1) 不正アクセス禁止法は、不正アクセス行為を禁止するとともに、こ れ に つ い て の 罰 則 及 び そ の 再 発 防 止 の た め の 都 道 府 県 公 安 委 員 会 に よる援助措置等を定めることにより、電気通信回線を通じて行われる 電子 計算 機に 係る 犯罪 (注 ) の防止 及 びアクセ ス制御 機能により 実現 される電気通信に関する秩序の維持を図り、もって高度情報通信社会 の健全な発展に寄与することを目的としています。 (2) この法律により、不正アクセス行為等の禁止・処罰のほか、不正ア クセスを受ける側(アクセス管理者等)に防御措置を求め、アクセス管 理者 等が その 防御 措置 を 的確 に講 じ られる ように行政 (愛知 県公安委 員会 等 )が援 助 すると い う防御 側 の対策 という2つ の側面 から、不正 アクセス行為の防止を図ります。 (注)電磁的記録不正作出罪、電子計算機損壊等業務妨害罪、電子計算機使 用詐欺罪などの犯罪や、ネットワークを介しての薬物犯罪、詐欺、名誉 棄損、わいせつなどにかかる犯罪 ○ ア ク セ ス 管 理 者 に よ る 防 御 措 置 ( 法 8条) ○ 都 道 府 県 公 安 委 員 会 に よ る 援 助 等 (法9条) ○国(国 家公安 人会、総 務大臣 、経済 産 業 大 臣 ) に よ る 情 報 提 供 等 ( 法 1 0 条) ・不正ア クセス 行為 の 発生状況 の公表 ・ セ キ ュ リ テ ィ 技 術 の 研 究 開 発 状 況 の 公表 ・ 不 正 ア ク セ ス 行 為 か ら の 防 御 に 関 す る広報啓 発、知 識の 普 及 ○不正ア クセス 行為 の 禁止 (法 3条) ○ 他 人 の 識 別 符 号 を 不 正 に 取 得 す る 行 為の禁止 (法4 条) ○ 不 正 ア ク セ ス 行 為 を 助 長 す る 行 為 の 禁止(法 5条) ○ 他 人 の 識 別 符 号 を 不 正 に 保 管 す る 行 為の禁止 (法6 条) ○ 識 別 符 号 の 入 力 を 不 正 要 求 す る 行 為 ( フ ィ ッ シ ン グ 行 為 等 ) の 禁 止 ( 法 7 条) ◎罰則(法11 条、法1 2条、法13 条) 高度情報通信社会の健全な発展 サイバー犯罪の防止・電気通信に関する秩序の維持 不正アク セス行 為等 の 禁止・処罰(司法) 防御側の 対策(行政)
2 1-2不正アクセス禁止法で禁止されている行為 (抜粋) 1-2-1 他人に成り済ます行為 インターネットなどのネットワークに接続されたパソコンから、利用 権限のない者が他人の「識別符号(ID、パスワード)」などを無断で使 用する行為 1-2-2 セキュリティホールを突く行為 成り済ましと同様に、利用権限のない者がアクセス制御しているコン ピ ュ ー タ 等 の セ キ ュ リ テ ィ ホ ー ル (設 定 ミ ス な ど 不 備 な 点 )を 攻 撃 し て コンピュータに侵入する行為 上記の 2つの 行為 は いずれも 「3年以 下の懲 役ま た は100 万円以 下の 罰 金」の処 罰を受 けま す
3 1-2-3 不正アクセスを準備する行為等 他人の識別符号を不正に取得する行為、入手した他人の識別符号を不正 に保管する行為、フィッシング行為等は、 「1年以下の懲役または50万円以下の罰金」の処罰を受けます 他人の識別符号を第3者に提供するなどの不正アクセス助長行為は、 「30万円以下の罰金」の処罰を受けます
4 1-3 不正アクセス行為に対する援助等の措置 法9条関係 愛知県(都道府県)公安委員会は、 ① 不正アクセス行為が行われたと認められ、 ② アクセス管理 者から、その再発を 防止するため、参考 となるべき事 項に関する書類、その他の物件を添えて ③ 援助を受けたい旨の申出があり、申出を相当と認めるときは、 不 正 アク セス 行為 か ら防 御す る た め必要 な応 急の措 置が的確 に講 じられ る よう、必要な援助を行います。 愛知県公安委員会
5 2 不正アクセスに遭わないための対策 2-1 アクセス管理者による防御措置(法8条) 不正アクセス行為からコンピュータを防御するためには、アクセス管理 者は、日頃から次のことに留意するとともに、利用者に対しても、これを 指導する必要があります。 2-1-1 識別符号の適切な管理 ① 推測されやすいパスワードの解消・定期的な変更 誕生日、名前、電話番号等の推測されやすい単語をパスワードとして 使わないようにし、パスワードは定期的に変更して下さい。 ② ウイルス等の不正なプログラム対策 不審な電子メールを受信した場合、添付ファイルは、不用意に開かな いようにして下さい。ID・パスワードを盗むトロイの木馬や ウィルス などの不正なプログラムを仕掛けられる恐れがあります。 ③ 使われなくなったIDの抹消 利用者の登録抹消等により使われなくなったIDは、不正アクセス行 為に使われ易いので、不用なIDは 抹消して下さい。 2-1-2 サーバの適切な管理 ① セキュリティ責任者の設置 ネ ッ ト ワ ー ク に 不 具 合 が 生 じ た と き の 対 処 等 に お け る 責 任 を 明 確 化 するため、あらかじめセキュリティ対策の責任者を決定して下さい。 ② アクセス制御機能の付加 利用者の識別符号を用いて適切なサーバの利用制限をかけ て下さい。 ③ 不必要なサービスの停止 使っていないサービス(サーバの機能)は、停止 して下さい。 ④ 裏口の有無の確認 侵入者が裏口を設けていないかチェック して下さい。 ⑤ ポートの確認 サーバが不要なポートを開放していないか(ネットワーク経由で利用 可能としていないか)確認し、不要なポートは利用停止 して下さい。 ⑥ セキュリティホールの解消 サ ー バ で 使 用 し て い る プ ロ グ ラ ム が 古 い も の だ と セ キ ュ リ テ ィ ホ ー ルが存在する可能性が高くなります。関連情報を確認の上パッチを充て て、セキュリティホールを解消 して下さい。
6 2-1-3 外部との接続の制限 ① ファイアウォールの設置外部ネットワークと内部ネットワークの間 には、ファイアウォールを設置するとともに、アクセス制限ルールを適 切に設定して下さい。 ② リモートアクセスの適切な管理 ネットワークにより、リモートアクセスをさせる場合には、ネットワ ークへのアクセス箇所、接続ID等を適切に管理 して下さい。 2-1-4 データのバックアップ ~システムデータ及びユーザデータのバックアップ~ 万が一、システムダウンしたときも容易に復旧できるよう、システムデ ータ及びユーザデータのバックアップを定期的に実施 して下さい。 2-1-5 ログの安全な保存及び監査 ① ログの保存ネットワーク上の各サーバ の接続ログを取得して下さい。 取得したログには、侵入者の痕跡が残っている可能性があります。一定 期間保存して下さい。 また、ログの改ざん・消去のためには、バックアップが有効です。 ② 取得したログの監査 取得したログを定期的にチェックするように して下さい。気がつかな いうちにシステムに侵入されたり、他のサイトへの踏み台にされ たりし ているかもしれません。 2-1-6 不正アクセスの検知 ~不正アクセス検知装置の設置~ 不正侵入があった場合に自動的にメールでそれを通知したり、システム を強制的に切断したりする不正アクセス検知装置を必要に応じ導入 して 下さい。
7 2-1-7 その他 ① 上記のほか、「情報システム安全対策指針(国家公安委員会告示平成 11年11月改訂)」などのセキュリティ対策に関するガイドラインも 参考に対策を講じてください。 ② セキュリティ対策については、次のホームページからも情報が得られ ますので参考としてください。 ア 警察庁 http://www.npa.go.jp/ 上記「情報システム安全対策指針」も掲載されています。 イ CERT/CC(Computer Emergency Response Team)
http://www.cert.org/ ウ JPCERTコーディネーションセンター http://www.jpcert.or.jp/ エ 情報処理振興事業協会 https://www.ipa.go.jp/ 2-2 不正アクセス行為を受けたときは ① 不正アクセス行為を認知した時は、直ちにセキュリティ責任者に報告 して下さい。 ② 攻撃を受けた対象、不正アクセス検出の結果、ログイン時のログ等そ の後の監査又は調査に必要な情報を認知時点の状態で保存して下さい。 ③ 警察機関等への通報が必要なときは、直ちに通報して下さい。 ④ 復旧を行うに当たっては、作業の経過を記録して下さい。 2-3 その他 ① セキュリティサービス業者の活用 セキュリティポリシーの策定 支援、不正アクセス検知、セキュリティ ホールの検査、コンピュータ ウイルス対策、担当者の研修等のサービス を提供している業者もありますので、必要に応じこれらの活用も検討し てください。 ② セキュリティポリシーについて ネットワークの情報セキュリティの確保のためには、利用者の情報セ キュリティに対する意識向上はもちろんのこと、情報に関して個々の利 用者の考えで、その扱いが異なることのないように、当該ネットワーク 全体としての意思(情報セキュリティポリシー)が統一されて明確化さ れる必要があります。
8 別記様式 (第1 条関 係 ) その1 ※受理年 月日 受理番号
援 助 申 請 書
不正アク セス行 為の 禁 止等に関 する法 律第 9 条第1項 の規定 によ る 援助を受 けた いので 、次の とお り 申し出ま す。 年 月 日 愛知県 公安 委 員会 殿 申出人の 氏名又 は名 称 及び住所 ㊞ 申 出 人 (ふりが な) 氏名又は 名称 住 所 (ふりが な) 法人にあ っては 、 その代表 者の氏 名 申出に対 する連 絡先 不正アク セス 行為に係 る特 定電子計 算機 設置場所 用 途 不 正 ア ク セ ス 行 為 を 認 知 し た 日 時 不 正 ア ク セ ス 行 為 が 行 わ れ た 日 時 不 正 ア ク セ ス 行 為 が 行 わ れ た と 認 め る 理 由9 その2 申出書に添えて提出する資料 □1 不正アクセス行為に係る特定電子計算機に係るシステムの構成に関する資料 (資料名) □2 1の特定電子計算機の特定利用に関する資料 (資料名) □3 2の特定利用を制限していたアクセス制御機能その他の機能の概要に関する資料 (資料名) □4 3のアクセス制御機能に係る識別符号をそのアクセス制御機能により確認するために用いる 符号の内容及び管理状況に関する資料 (資料名) □5 1のシステムを構成する特定電子計算機に入力された識別符号その他の情報又は指令、それ らの入力の日時、結果その他の入力履歴に関する資料 (資料名) □6 不正アクセス行為の再発を防止するために講じた措置その他の1のシステムに対して講じた 措置に関する資料 (資料名) □7 不正アクセス行為が行われた際の特定電子計算機の作動状況及び管理状況その他の参考とな るべき事項に関するその他の資料 (資料名) 記載要領 1 ※印欄には、記載しないこと。 2 申出人は、氏名の記載と押印に代えて、署名することができる。 3 該当する□に✓印を付けるとともに、資料の名称を記載すること。 4 不正アクセス行為に係る特定電子計算機に係るシステムの構成には、システムを構成する特 定電子計算機の機種、名称、機能及び識別情報、OSその他のプログラムの名称及び機能並び に他のシステムとの接続箇所及び接続方法を含む。 5 所定の欄に記載し得ないときは、別紙に記載の上、これを添付すること。 備考 用紙の大きさは、日本工業規格A4とすること。
10
