今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は9.3章:情報セキュリティに関する法律とガイドラインのCheck問題です。
【Q1】刑法によって取り締まることができるコンピュータ犯罪の例を挙げよ。
コンピュータやシステムに本来の目的とは異なる動作をさせ、業務を妨害した場合に電子計算機損壊等業務妨害(刑法第234条の2)で取り締まることができる。
コンピュータやシステム、電子データに偽の情報や不正な指令を与えて財産上不法な利益を得たり他人を得させたりした場合に電子計算機使用詐欺(刑法第246条の2)で取り締まることができる。
【Q2】不正アクセス禁止法の特徴について説明せよ。
1987年の刑法改正により、Q1のようにコンピュータに偽の指令を与えたり、電子データを破壊したりする犯罪を処罰の対象とすることができるようになった。しかし、社会通念上は不正と思われるような行為であっても刑法で罰することができないものが数多く存在した。
そのため、具体的な被害を与えなくても、不正アクセスをしたという事実だけで罰することができる不正アクセス禁止法が2000年2月13日に施行された。
【Q3】サイバーセキュリティ基本法の概要について説明せよ。
サイバーセキュリティに関する施策や戦略を明確に定め、総合的かつ効果的に推進することにより、経済社会の活力向上、持続的発展、国民が安全で安心して暮らせる社会の実現、国際社会の平和および安全の確保、国の安全保障への寄与などを目的にしている。
【Q4】サイバーセキュリティ戦略本部の主な機能・役割について説明せよ。
内閣に設置され、以下のような役割を持つ。
①サイバーセキュリティ戦略の案の作成および同戦略の実施推進
②国の行政機関および独法における対策基準の作成および同基準に基づく施策の評価、その他の同基準に基づく施策の実施推進
③国の行政機関で発生したサイバーセキュリティに関する重大な事象に対する施策の評価
【Q5】サイバーセキュリティ経営ガイドラインの概要について説明せよ。
小規模事業者を除く企業のうち、ITに関するシステムやサービスを供給する企業および経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため、経済産業省とIPAが策定した。
サイバー攻撃から企業を守る観点で、経営者が認識する必要がある『3原則』と、経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき『重要10項目』をまとめているほか、付録としてサイバーセキュリティ経営チェックシートやインシデント発生時に組織内で整理しておくべき事項などがある。
【Q6】同ガイドラインにおける経営者が認識する必要のある「3原則」について説明せよ。
①経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
②自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
③平時および緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
【Q7】電子署名法は何を目的とした法律か。
電子署名を手外の署名や押印と同等に扱うための法的基盤を整備することを目的とした。
【Q8】通信傍受法が対象としている「通信」とは何を指すか。
電話による音声通話だけでなく、FAXや電子メールなど、電気通信全般を指す。
【Q9】通信傍受法では、傍受にあたってどのような条件が付されているか。
捜査官が裁判所に令状を請求し、令状が発行されたうえでしか実施できない。また、傍受においては暗号技術を活用し、記録の改変などができない機器で実施する必要がある。
【Q10】特定電子メール法における「特定電子メール」とは何か。
そのメールを送信することに同意する旨を通知した者など一定の者以外の個人に対し、電子メールの送信をするが者自己または他人の営業につき広告または宣伝を行うための手段として送信する電子メール
【Q11】特定電子メール法では、特定電子メールの送信者に何を課しているか。
①特定電子メールである旨、送信者の氏名または名称および住所、送信に用いたメールアドレス、送信者の受信用メールアドレスの情報を表示する。
②送信拒否を通知した者に対してメールの送信は禁止。
③プログラムを用いて作成した架空のアドレス宛にメールの送信は禁止。
私が使っているのは2022年版のテキストですが、2024年版も出ています。