分野：ストラテジ系
中分類：法務
小分類：セキュリティ関連法規

コンピュータ不正アクセス対策基準は、コンピュータ不正アクセスによる被害の予防，発見，再発防止などについて，組織及び個人が実行すべき対策をとりまとめたものです。基準は、システムユーザー基準、システム管理者基準、ネットワークサービス事業者基準及びハードウェア・ソフトウェア供給者基準の４つから構成されています。

システムユーザー基準

システムを利用する者が実施すべき対策についてまとめたもので、27項目からなる。

システム管理者基準

システムユーザーの管理並びにシステム及びその構成要素の導入、維持、保守等の管理を行う者が、実施すべき対策についてまとめたもので、58項目からなる。

ネットワーク事業者サービス基準

ネットワークを利用して、情報サービス及びネットワーク接続サービスを提供する事業者が実施すべき対策についてまとめたもので、27項目からなる。

ハードウェア・ソフトウェア供給者基準

ハードウェア及びソフトウェア製品の開発、製造、販売等を行う者（以下「ハードウェア・ソフトウェア供給者」とする。）が、実施すべき対策についてまとめたもので、24項目からなる。

この選択肢の事例を基準に当てはめて考えてみると、

• システム管理者基準(4)設備管理の項に、「ネットワークを介して外部からアクセスできる通信経路及びコンピュータは、必要最小限にすること」及び「システムの利用形態等に応じて、ネットワークを分離すること」とあるのでセキュリティ面から不適切な事例と判断できます。
• システムユーザー基準(1)パスワード及びユーザーＩＤ管理の項に「ユーザーＩＤは、複数のシステムユーザーで利用しないこと」とあり、IDの共有は不適切です。
• システム管理者基準(1) 管理体制の整備の項に「システム管理者の権限は、業務を遂行する上で必要最小限にすること」及び、(2) システムユーザー管理の項では「システムユーザーの登録は、必要な機器に限定し、システムユーザーの権限を必要最小限に設定すること」としていることから不適切な事例と判断できます。
• 正しい。システム管理者基準(1)管理体制の整備の項に「システムのセキュリティ方針を確立し、周知・徹底すること」とあり、(7) 情報収集及び教育の項では、「システムユーザーに、セキュリティ教育を随時実施すること」とする基準があります。

参考URL：コンピュータ不正アクセス対策基準
https://www.meti.go.jp/policy/netsecurity/UAaccessCMG.htm