問題本文
アクセス管理者は,不正アクセスからコンピュータを防御する役割を担う。不正アクセス禁止法において,アクセス管理者が実施するよう努力すべきこととして定められている行為はどれか。
選択肢
- ア.アクセス制御機能の有効性を検証する。
- イ.アクセスログを定期的に監督官庁に提出する。
- ウ.複数の人員でアクセス状況を常時監視する。
- エ.利用者のパスワードを定期的に変更する。
解説
不正アクセス禁止法でアクセス管理者(コンピュータ等の運用責任者)が実施するよう努める行為を問う問題. 同法第8条はアクセス管理者の防御措置(努力義務)として,(1)識別符号(ID・パスワード)の適正な管理,(2)アクセス制御機能の高度化,(3)その他不正アクセス行為を防御するため必要な措置,を講ずるよう求めている. その中核がアクセス制御機能の有効性を検証し必要に応じて改善することである. 一方で,ログを監督官庁に定期提出する義務や複数人での常時監視の法的義務はなく,パスワード変更は利用者側の責務に近い. アクセス管理者の責務と利用者の責務を区別することが鍵となる.
選択肢ごとの解説
- ア.正解. 不正アクセス禁止法第8条に基づき,アクセス管理者はアクセス制御機能を有効に保ち,必要に応じて高度化する努力義務を負う. その有効性検証(脆弱性診断や認証強度確認等)はまさに防御措置の中核であり,本問の正答に該当する. 努力義務として法的に定められている.
- イ.誤り. 不正アクセス禁止法はアクセスログの監督官庁への定期提出を義務付けていない. ログ管理は社内の不正検知・追跡用途で利用するもので,行政への定期報告は本法の規定にない. 法定の責務と任意の運用管理を取り違えた選択肢で,監督官庁提出は別法令の領域となる規制と区別する必要がある.
- ウ.誤り. 複数人員での常時監視は法的義務ではなく,組織のセキュリティポリシで決める運用上の措置. 不正アクセス禁止法のアクセス管理者責務として努力義務とされているのはアクセス制御機能の管理であり,人員配置による常時監視は規定外の取り組みで,組織内の運用判断に委ねられる.
- エ.誤り. 利用者パスワードを定期的に変更する責務は利用者自身に近い側面が強く,アクセス管理者がパスワードを定期変更すべきとは法律上規定されていない. パスワード適正管理の啓発はあり得るが,「定期変更させる」ことそのものは法律の努力義務ではない.
ITパスポート 2015年 (平成27年 秋期) の過去問一覧へ戻る・問28