情報処理安全確保支援士になって1年。セキュリティエンジニアになって半年。
色々とセキュリティに関する法律に興味を持ったので、このタイミングで一度まとめてみようと思いました。
最近coinhive とか無限アラート事件とかで逮捕・補導、書類送検されている事態に発展しているので自衛のための法律の勉強です。
サイバーセキュリティ基本法
2014年11月成立、2015年1月施行。
サイバーセキュリティという単語を定義。
また国や地方自治体における取り組みを明文化。
個人的に関わりがあるのが下記の部分。
第七条 サイバー関連事業者(インターネットその他の高度情報通信ネットワークの整備、情報通信技術の活用又はサイバーセキュリティに関する事業を行う者をいう。以下同じ。)その他の事業者は、基本理念にのっとり、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする。
今のお仕事がサイバーセキュリティ関連なので、事業者としての役割は上記のように明記されている。
情報処理の促進に関する法律
2016年4月改正、2016年10月施行。
情報処理安全確保支援士の業務や資格についてなどが記載されている。
基本的に情報処理安全確保支援士はサイバーセキュリティ基本法の第2条に書かれていることを支援する。
第六条 情報処理安全確保支援士は、情報処理安全確保支援士の名称を用いて、事業者その他の電子計算機を利用する者によるサイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。以下同じ。)の確保のための取組に関し、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援することを業とする。 (情報処理安全確保支援士の資格)
サイバーセキュリティ基本法の該当部分。
第二条 この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。 (基本理念)
不正指令電磁記録に関する罪(ウイルス作成罪)
刑法の中に書かれているみたいですね。
最近何かと話題の法律。個人的に一番ビビってる法律です。
coinhiveとか無限ループ事件とかね。
第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。 一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録 二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録 2 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。 3 前項の罪の未遂は、罰する。 (不正指令電磁的記録取得等)
不正アクセス禁止法
他者が運用しているサーバーに勝手に侵入してはいけないよ、という法律。
案外大丈夫だと思われがちですが、パスワードを推測してログインを突破したりだとか、脆弱性を突いてWebページ攻撃していたらWebサーバーに入れてしまったりすると問われてしまう。
不正アクセスの定義は下記。
この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。) 二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。) 三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
不正競争防止法
実際の実例では、退職間際に自社の顧客リストとか商品の機密情報などの営業秘密を持ち出すとかが当たりますかね。
窃取、詐欺、強迫その他の不正の手段により営業秘密を取得する行為(以下「不正取得行為」という。)又は不正取得行為により取得した営業秘密を使用し、若しくは開示する行為(秘密を保持しつつ特定の者に示すことを含む。以下同じ。)
営業秘密
6 この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。
秘密管理性、 有用性、 非公知性の3つの性質が存在する。
営業秘密はこの3要素が重要になる。
ここは2019年度春季の情報処理安全確保支援士の午後2で出てきましたね。
まとめ
法律むずい。
サイバーセキュリティ関連だと法律とか絡んでくるので、自分の身を守るためにも最低限の勉強はしておきたいです。
