不正アクセス行為に遭わないために ~ アクセス管理者用セキュリティマニュアル ~ 愛知県警察本部 サイバー犯罪対策課
~ 目次 ~ 内 容 頁 1 不正アクセス禁止法の概要 1 1-1 不正アクセス禁止法の概要 1 1-2 不正アクセス禁止法で禁止されている行為 ( 抜粋 ) 2 1-2-1 他人に成り済ます行為 2 1-2-2 セキュリティホールを突く行為 2 1-2-3 不正アクセスを準備する行為等 3 1-3 不正アクセス行為に対する援助等の措置 4 2 不正アクセスに遭わないための対策 5 2-1 アクセス管理者による防御措置 ( 法 8 条 ) 5 2-1-1 識別符号の適切な管理 5 2-1-2 サーバの適切な管理 5 2-1-3 外部との接続の制限 6 2-1-4 データのバックアップ 6 2-1-5 ログの安全な保存及び監査 6 2-1-6 不正アクセスの検知 6 2-1-7 参考 URL 等 7 2-2 不正アクセス行為を受けたときは 7 2-3 その他 7 別添 別記様式 ( 第 1 条関係 ) 援助申請書その1 別記様式 ( 第 1 条関係 ) 援助申請書その2
1 不正アクセス禁止法の概要 1-1 不正アクセス禁止法の概要 (1) 不正アクセス禁止法は 不正アクセス行為を禁止するとともに これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより 電気通信回線を通じて行われる電子計算機に係る犯罪 ( 注 ) の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り もって高度情報通信社会の健全な発展に寄与することを目的としています (2) この法律により 不正アクセス行為等の禁止 処罰のほか 不正アクセスを受ける側 ( アクセス管理者等 ) に防御措置を求め アクセス管理者等がその防御措置を的確に講じられるように行政 ( 愛知県公安委員会等 ) が援助するという防御側の対策という2つの側面から 不正アクセス行為の防止を図ります ( 注 ) 電磁的記録不正作出罪 電子計算機損壊等業務妨害罪 電子計算機使用詐欺罪などの犯罪や ネットワークを介しての薬物犯罪 詐欺 名誉棄損 わいせつなどにかかる犯罪 高度情報通信社会の健全な発展 サイバー犯罪の防止 電気通信に関する秩序の維持 不正アクセス行為等の禁止 処罰 ( 司法 ) 防御側の対策 ( 行政 ) 不正アクセス行為の禁止 ( 法 3 条 ) 他人の識別符号を不正に取得する行為の禁止 ( 法 4 条 ) 不正アクセス行為を助長する行為の禁止 ( 法 5 条 ) 他人の識別符号を不正に保管する行為の禁止 ( 法 6 条 ) 識別符号の入力を不正要求する行為 ( フィッシング行為等 ) の禁止 ( 法 7 条 ) 罰則 ( 法 11 条 法 12 条 法 13 条 ) アクセス管理者による防御措置 ( 法 8 条 ) 都道府県公安委員会による援助等 ( 法 9 条 ) 国 ( 国家公安人会 総務大臣 経済産業大臣 ) による情報提供等 ( 法 1 0 条 ) 不正アクセス行為の発生状況の公表 セキュリティ技術の研究開発状況の公表 不正アクセス行為からの防御に関する広報啓発 知識の普及 1
1-2 不正アクセス禁止法で禁止されている行為 ( 抜粋 ) 1-2-1 他人に成り済ます行為インターネットなどのネットワークに接続されたパソコンから 利用権限のない者が他人の 識別符号 (ID パスワード) などを無断で使用する行為 1-2-2 セキュリティホールを突く行為成り済ましと同様に 利用権限のない者がアクセス制御しているコンピュータ等のセキュリティホール ( 設定ミスなど不備な点 ) を攻撃してコンピュータに侵入する行為 上記の 2 つの行為はいずれも 3 年以下の懲役または 100 万円以下の罰金 の処罰を受けます 2
1-2-3 不正アクセスを準備する行為等他人の識別符号を不正に取得する行為 入手した他人の識別符号を不正に保管する行為 フィッシング行為等は 1 年以下の懲役または50 万円以下の罰金 の処罰を受けます 他人の識別符号を第 3 者に提供するなどの不正アクセス助長行為は 30 万円以下の罰金 の処罰を受けます 3
1-3 不正アクセス行為に対する援助等の措置法 9 条関係愛知県 ( 都道府県 ) 公安委員会は 1 不正アクセス行為が行われたと認められ 2 アクセス管理者から その再発を防止するため 参考となるべき事項に関する書類 その他の物件を添えて 3 援助を受けたい旨の申出があり 申出を相当と認めるときは 不正アクセス行為から防御するため必要な応急の措置が的確に講じられるよう 必要な援助を行います 愛知県公安委員会 4
2 不正アクセスに遭わないための対策 2-1 アクセス管理者による防御措置 ( 法 8 条 ) 不正アクセス行為からコンピュータを防御するためには アクセス管理者は 日頃から次のことに留意するとともに 利用者に対しても これを指導する必要があります 2-1-1 識別符号の適切な管理 1 推測されやすいパスワードの解消 定期的な変更誕生日 名前 電話番号等の推測されやすい単語をパスワードとして使わないようにし パスワードは定期的に変更して下さい 2 ウイルス等の不正なプログラム対策不審な電子メールを受信した場合 添付ファイルは 不用意に開かないようにして下さい ID パスワードを盗むトロイの木馬やウィルスなどの不正なプログラムを仕掛けられる恐れがあります 3 使われなくなったIDの抹消利用者の登録抹消等により使われなくなったIDは 不正アクセス行為に使われ易いので 不用なIDは抹消して下さい 2-1-2 サーバの適切な管理 1 セキュリティ責任者の設置ネットワークに不具合が生じたときの対処等における責任を明確化するため あらかじめセキュリティ対策の責任者を決定して下さい 2 アクセス制御機能の付加利用者の識別符号を用いて適切なサーバの利用制限をかけて下さい 3 不必要なサービスの停止使っていないサービス ( サーバの機能 ) は 停止して下さい 4 裏口の有無の確認侵入者が裏口を設けていないかチェックして下さい 5 ポートの確認サーバが不要なポートを開放していないか ( ネットワーク経由で利用可能としていないか ) 確認し 不要なポートは利用停止して下さい 6 セキュリティホールの解消サーバで使用しているプログラムが古いものだとセキュリティホールが存在する可能性が高くなります 関連情報を確認の上パッチを充てて セキュリティホールを解消して下さい 5
2-1-3 外部との接続の制限 1 ファイアウォールの設置外部ネットワークと内部ネットワークの間には ファイアウォールを設置するとともに アクセス制限ルールを適切に設定して下さい 2 リモートアクセスの適切な管理ネットワークにより リモートアクセスをさせる場合には ネットワークへのアクセス箇所 接続 ID 等を適切に管理して下さい 2-1-4 データのバックアップ ~システムデータ及びユーザデータのバックアップ~ 万が一 システムダウンしたときも容易に復旧できるよう システムデータ及びユーザデータのバックアップを定期的に実施して下さい 2-1-5 ログの安全な保存及び監査 1 ログの保存ネットワーク上の各サーバの接続ログを取得して下さい 取得したログには 侵入者の痕跡が残っている可能性があります 一定期間保存して下さい また ログの改ざん 消去のためには バックアップが有効です 2 取得したログの監査取得したログを定期的にチェックするようにして下さい 気がつかないうちにシステムに侵入されたり 他のサイトへの踏み台にされたりしているかもしれません 2-1-6 不正アクセスの検知 ~ 不正アクセス検知装置の設置 ~ 不正侵入があった場合に自動的にメールでそれを通知したり システムを強制的に切断したりする不正アクセス検知装置を必要に応じ導入して下さい 6
2-1-7 その他 1 上記のほか 情報システム安全対策指針 ( 国家公安委員会告示平成 11 年 11 月改訂 ) などのセキュリティ対策に関するガイドラインも参考に対策を講じてください 2 セキュリティ対策については 次のホームページからも情報が得られますので参考としてください ア警察庁 http://www.npa.go.jp/ 上記 情報システム安全対策指針 も掲載されています イ CERT/CC(Computer Emergency Response Team) http://www.cert.org/ ウ JPCERTコーディネーションセンター http://www.jpcert.or.jp/ エ情報処理振興事業協会 https://www.ipa.go.jp/ 2-2 不正アクセス行為を受けたときは 1 不正アクセス行為を認知した時は 直ちにセキュリティ責任者に報告して下さい 2 攻撃を受けた対象 不正アクセス検出の結果 ログイン時のログ等その後の監査又は調査に必要な情報を認知時点の状態で保存して下さい 3 警察機関等への通報が必要なときは 直ちに通報して下さい 4 復旧を行うに当たっては 作業の経過を記録して下さい 2-3 その他 1 セキュリティサービス業者の活用セキュリティポリシーの策定支援 不正アクセス検知 セキュリティホールの検査 コンピュータウイルス対策 担当者の研修等のサービスを提供している業者もありますので 必要に応じこれらの活用も検討してください 2 セキュリティポリシーについてネットワークの情報セキュリティの確保のためには 利用者の情報セキュリティに対する意識向上はもちろんのこと 情報に関して個々の利用者の考えで その扱いが異なることのないように 当該ネットワーク全体としての意思 ( 情報セキュリティポリシー ) が統一されて明確化される必要があります 7
別記様式 ( 第 1 条関係 ) その 1 受理年月日受理番号 援助申請書 不正アクセス行為の禁止等に関する法律第 9 条第 1 項の規定による援助を受けたいので 次のとおり申し出ます 年月日愛知県公安委員会殿申出人の氏名又は名称及び住所印 申 ( ふりがな ) 氏名又は名称 出 住 所 人 ( ふりがな ) 法人にあっては その代表者の氏名 申出に対する連絡先 不正アクセス 設置場所 行為に係る特定電子計算機 用 途 不正アクセス行為 を 認 知 し た 日 時 不正アクセス行為 が 行 わ れ た 日 時 不正アクセス行為が 行われたと認める理由 8
その2 申出書に添えて提出する資料 1 不正アクセス行為に係る特定電子計算機に係るシステムの構成に関する資料 2 1 の特定電子計算機の特定利用に関する資料 3 2 の特定利用を制限していたアクセス制御機能その他の機能の概要に関する資料 4 3 のアクセス制御機能に係る識別符号をそのアクセス制御機能により確認するために用いる 符号の内容及び管理状況に関する資料 5 1 のシステムを構成する特定電子計算機に入力された識別符号その他の情報又は指令 それ らの入力の日時 結果その他の入力履歴に関する資料 6 不正アクセス行為の再発を防止するために講じた措置その他の 1 のシステムに対して講じた 措置に関する資料 7 不正アクセス行為が行われた際の特定電子計算機の作動状況及び管理状況その他の参考とな るべき事項に関するその他の資料 記載要領 1 印欄には 記載しないこと 2 申出人は 氏名の記載と押印に代えて 署名することができる 3 該当する に 印を付けるとともに 資料の名称を記載すること 4 不正アクセス行為に係る特定電子計算機に係るシステムの構成には システムを構成する特定電子計算機の機種 名称 機能及び識別情報 OSその他のプログラムの名称及び機能並びに他のシステムとの接続箇所及び接続方法を含む 5 所定の欄に記載し得ないときは 別紙に記載の上 これを添付すること 備考用紙の大きさは 日本工業規格 A4とすること 9
不正アクセス行為に関する問い合わせ先 愛知県警察本部生活安全部サイバー犯罪対策課電話 :052-951-1611 内線 :3342~3346 10