不正アクセス行為の禁止等に関する法律

• 電気通信に関する秩序の維持をはかり、高度情報通信社会の健全な発展に寄与するため
• 全文
  • http://www.ipa.go.jp/security/ciadr/law199908.html

用語の整理

• アクセス管理者
  • 電子計算機の動作管理者
• 識別符号
  • パスワード/ユーザーID、指紋音声認証要データ、クライアント証明書とかか
• アクセス制御機能
• 不正アクセス行為
  • 1. 他人の識別符号を入力すること
  • 2. oauth tokenとかそういうの使っても駄目
  • 3. exploitを利用してログインするとかそういうこともか

条文

• だれでも不正アクセス行為をしてはならない
• 不正アクセス行為のために他人の識別符号を取得してはならない
  • 「普通にユーザーにパスワードを入力してもらうこと」が該当しないようにするためにprefixの説明がついてると考えられる。
• 業務その他の理由を除いて、他人の識別符号をアクセス管理者および、本人以外に提供したら駄目
• 不正アクセスのために不正に取得された識別符号を保管したら駄目
• アクセス管理者になりすまして識別符号盗んだら駄目
  • フィッシングメール送るだけでアウトなのか
  • XSSでニセのフィッシングページ作ってどこかにそのURLはるだけでアウト
• 識別符号の適正な管理をするよう努める、不正アクセスから防御するための必要な措置を講じるように努めるべき
• 不正アクセスされた時に都道府県公安委員会に再発防止のための資料提供とかしてもらうことが出来る
  • 事後のみなんだね

メモ

• 不正アクセス行為の禁止等に関する法律の、第七条の二を見る感じ、XSSでフィッシングサイト作ってそのURLをどこかに貼るだけで該当するなぁ。実際にそれによって情報が流出していなくても。
  • 個人的にはこれはこの条文で良いと思いますね

「努めるべき」とは何か

• 法で裁かれることはないが、出来ればしたほうが良い、というニュアンスかな。
• 努力規定というらしい
*参考: http://ja.wikipedia.org/wiki/%E5%8A%AA%E5%8A%9B%E7%BE%A9%E5%8B%99
  • これを見る感じ、不正アクセス禁止法における努力義務とは、「激変緩和措置的意味合いのある場合」が該当するなぁ。「今はまだ知識が浸透してないから仕方なく努力義務にしているけど最終的には義務であるべきだよ」なぁみたいな。
    • そう考えるといまからちゃんとしておいたほうが良い!