『逐条 不正アクセス行為の禁止等に関する法律(第二版)』を読んだ
『逐条 不正アクセス行為の禁止等に関する法律(補訂第二版)』を読んでました。 受講してしまったシラバスに載っていたために、手に取ってみた系です。 タイトルの部分とamazonの簡易的な書誌情報でもわかるのですが、法律の本です。
この本を読んだきっかけ
- シラバスに載っていたため
良いと思った点(実践してみたいと思えるような内容等)
- 法律などに対する説明が丁寧に書かれている。
- 不正アクセス行為と言えば、Wizard_Bible事件(2018/3)などが思い出されると思うが (やったことが「ウィルスプログラムの配布」で不正アクセス行為として起訴だったはずなので多分この本の範囲にあてはまると思う。しっかり知ってるわけではないが法律での許容範囲が狭いことが指摘されている件で書籍として比較的丁寧に書かれたものが最近出たはずなの近いうちに手を出したいと思う。)そういったときの許容の狭さが分かるような感もあった。
- 本書が出たのは2008年の第一版なので致し方ない部分もあるのかもしれないし、後続として内容を引継ぎアップデートした本があるのであれば少し読んだ方がいいのかもしれない。
- 一番読みやすかったかつ好みだったのは「第十一章 付録」の「資料5 不正アクセス行為の発生状況」だった。(この本が出ていた2007年ごろは「オンラインゲーム」に関したものが若干の流行があったようにも見受けられた)
- 同資料5内では「1つのパスワードに様々なIDを組み合わせてIDを特定する手法」の事案が2007年に出ていたようだ。最近もドコモ口座を利用して地銀が似たような被害にあっていたのは記憶に新しいように思う。
cf.リバースブルートフォース
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は - ITmedia NEWS
とりあえず日本の法律的な用語として自分用まとめ
(主として「第四章 用語の定義」からの抜粋し自分の言葉でまとめたものになります。私の読み間違いによって意図が変わってることもあり得ます。ご注意ください。)
アクセス管理者 - 特定電子計算機(電子通信が可能な状態に構成されている電子計算機)にアクセス制御機能付加する主体とされ、特定電子計算機を不正アクセス行為から防御するために必要な措置を講ずるように努める。(注より、「企業内LANに社員等が私物のPCを接続している場合がある。端末機器としてのみ利用し得るものであればアクセス管理者は"いない"。そのPCがlanを通じて他のPCから遠隔利用できるようにしているのであれば、その社員がその遠隔利用(特定利用)について"アクセス管理者になる"」)
imo. 今のコロナの状態で上記の注のような使い方がかなり書かれた当時よりもされるようになってきた(し、ある場所では推奨もされるようになったように感じる。)
それらを含めると若干危うい感じがする識別符号 - 利用させる相手や範囲を決定させるために、pcに相手を識別させる必要がある(ex.id,password的な)
特定利用を認める相手方ごとに違うものであること
その相手方以外に用いられていることができないものであること
cf. Authentication(認証) ※以下の話はaiitのセキュリティシステム管理運用特論のパワーポイントから抜粋しました。
アクセス制御機能 - アクセス管理者がid,password等の識別符号が入力された場合のみその利用を認めること(ファイアーウォール)ゲートウェイ・認証サーバー型
悪い点(苦手な点)
- webセキュリティに興味がある人が読むものというよりは法律に興味がある人に向けて書いているような節があるので、かなり固く書かれている。例で言えば「第七 アクセス管理者による防御措置」の章では努力義務としてだが、かなり多くのものが課されている。
ex. バッチプログラムによるセキュリティホールの解消 初期パスワードは変更すること ログの保持 など 確かにそれができていれば、世の中の穴はなくなるだろうなと思うようなところはありました。 (銀行案件を考えてもらうとわかりやすいし、そういったものに対して書いてあるようにも見受けられる)
まとめ
- 日本語としてかなり読みにくいし、厳密に書こうという意思が垣間見れるので「自分用の用語定義」のまとめを作るために読み返すだけでもかなり骨が折れた。
- ザラっとしか読んでいないためここの章を読み直した方がいい等、また誤記があればご指摘ください。
