令和3年度30ストラテジ系

ITパスポート 令和3年度 問30:法務に関する問題

情報の取扱いに関する不適切な行為a〜cのうち,不正アクセス禁止法で定められている禁止行為に該当するものだけを全て挙げたものはどれか。 a オフィス内で拾った手帳に記載されていた他人の利用者IDとパスワードを無断で使って,自社のサーバにネットワークを介してログインし,格納されていた人事評価情報を閲覧した。 b 同僚が席を離れたときに,同僚のPCの画面に表示されていた,自分にはアクセスする権限のない人事評価情報を閲覧した。 c 部門の保管庫に保管されていた人事評価情報が入ったUSBメモリを上司に無断で持ち出し,自分のPCで人事評価情報を閲覧した。

  • aa正答
  • ba, b
  • ca, b, c
  • da, c
正答:Aa

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは a(aだけ) です。

不正アクセス禁止法は、ざっくり言うと「ネットワーク越しに、他人のIDやパスワードを勝手に使ってログインしちゃダメ」という法律です。

・a は、拾ったIDとパスワードで会社のサーバにネット経由でログイン → まさにアウト。

・b は、人のパソコンの画面をのぞき見ただけ(ネット越しにログインしていない)。

・c は、USBメモリを持ち出して自分のPCで見ただけ(ネット越しのログインではない)。

だから不正アクセス禁止法に当てはまるのは a だけです。

👉 覚え方:「ネット越しに・他人のID/パスワードで・勝手にログイン」がそろうと不正アクセス。

標準試験対策の基準レベル

なぜこれが正解か

正解は a(aのみ)。不正アクセス禁止法は、ネットワーク(電気通信回線)を通じて、他人の識別符号(ID・パスワード等)を無断使用したり、セキュリティホールを突いたりしてアクセス制御を回避し、本来利用権限のないコンピュータを利用する行為を禁じる。a は他人のID・パスワードを無断使用しネットワーク経由でサーバにログインしており、これに該当する。

各選択肢の解説

  • b:同僚のPC画面を直接のぞき見て閲覧 → ネットワーク経由の不正アクセスではない(覗き見=ソーシャル的な情報窃取で、本法の対象外)。
  • c:USBメモリを無断で持ち出し自分のPCで閲覧 → 物理的な持ち出しで、ネットワーク経由のアクセスではないため本法の対象外。

覚え方・ひっかけ注意

不正アクセス禁止法の要件は「ネットワーク経由」+「アクセス制御を回避(他人のID/PW無断使用等)」。覗き見(b)や物理的持ち出し(c)はネットワーク不正アクセスではない点がひっかけ。情報自体の不正取得は別の問題(就業規則違反・営業秘密侵害等)になり得る。

上級誤答論破・背景理論まで深掘り

法律の構造と要件

不正アクセス禁止法(正式名称:不正アクセス行為の禁止等に関する法律、1999年制定・2012年改正で罰則強化)が禁じる「不正アクセス行為」は2類型ある。①不正ログイン(識別符号不正使用):他人のID・パスワード等の識別符号を無断で入力して認証を通過する行為。アクセス制御機能(認証機能)のあるコンピュータに電気通信回線(ネットワーク)経由でアクセスすることが要件——スタンドアロンPCを物理的に直接操作する行為は射程外。②セキュリティホール攻撃:識別符号なしにアクセス制御を突破する技術的手法(SQLインジェクション・バッファオーバーフロー等でアクセス制御を機能させない行為)。さらに、不正アクセスに使うためのID/パスワードの不正取得・不正保管・不正提供(フィッシングサイトでの騙し取り行為の助長等)も禁止規定がある。

各行為の法的帰属と比較

選択肢bの「ショルダーハッキング(覗き見)」はソーシャルエンジニアリングの一手法で、不正アクセス禁止法の「電気通信回線を通じたアクセス制御の回避」という要件を満たさない。ただし取得した情報(ID/パスワード)を後でネットワーク経由のログインに使えば不正アクセス禁止法が適用され得る。選択肢cのUSBメモリ持ち出しは、内容が営業秘密であれば不正競争防止法(営業秘密の不正取得)、個人情報であれば個人情報保護法、業務上横領として刑法(業務上横領罪・窃盗罪)が適用され得る。このように同一行為でも複数の法律が競合・補完する構造を理解することが法務問題の上級対策になる。

実務での防御策

不正アクセス禁止法違反を防ぐ技術的対策として、MFA(多要素認証)(パスワード単体では不十分でワンタイムパスワード・生体認証等の追加要素が必要)、ゼロトラスト(ネットワーク内側でも常に認証・認可を要求)、IDaaS(Identity as a Service)(Azure AD・Okta等のクラウド認証基盤)、SIEM(セキュリティ情報・イベント管理)(ログの異常ログイン検知)が実装される。フィッシング対策にはSPF/DKIM/DMARC(メール正当性認証)・ブラウザのフィッシング検知機能・従業員教育の組み合わせが標準的。

上位資格への接続

基本情報技術者では不正アクセス禁止法・不正競争防止法(営業秘密)・個人情報保護法・プロバイダ責任制限法・著作権法・不正指令電磁的記録罪(ウイルス作成・提供)の保護対象と適用要件の識別問題が頻出。応用情報以上ではサイバー攻撃のKillChain(偵察→武器化→侵入→設置→C2→横展開→目的実行)の各段階と法律・技術対策の対応関係まで踏み込んだ出題が見られる。

選択肢の発展補足

ショルダーハッキング(選択肢b)やゴミ漁り(スキャベンジング)・なりすまし電話はソーシャルエンジニアリングの3大手口で、技術対策でなく人・運用ルール(クリアデスク・クリアスクリーン・シュレッダー・来客者バッジ等)での対策が主となる。USB持ち出し(選択肢c)への対策は、エンドポイントDLP(USB接続禁止・ファイル暗号化強制)・物理的なUSBポートロック・ファイルサーバへの証跡ログ収集が実務標準。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和3年度30/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

ストラテジ系の他の過去問

1
corporate_legal
2
corporate_legal
3
business_strategy
4
business_strategy
5
corporate_legal

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。