title: “Pentest レポートテンプレート” version: “0.1-draft”
Pentest レポートテンプレート
本テンプレートは、本書の Part 3 および Part 7 で説明する Pentest レポート構成に基づくものである。
実際の案件・演習に応じて、章立てや粒度を調整して利用する。
1. レポート情報
- 顧客名 / プロジェクト名
- 評価対象システム名
- 実施期間
- レポート作成日
- 作成者 / 所属
2. エグゼクティブサマリ
- 評価の目的
- 全体的なリスク評価(高 / 中 / 低 など)
- 主要な所見の概要(例:アクセス制御不備、クラウド設定ミスなど)
- 推奨される優先対応事項(トップ 3 程度)
3. 評価概要
- 評価範囲
- 対象ドメイン・IP 範囲
- 対象コンポーネント(Web / API / モバイル / クラウド / Linux/コンテナ 等)
- 前提条件・制約
- スコーピングで合意した前提(禁止事項、時間帯制限等)
4. 手法・基準
- 参照した標準・ガイドライン
- OWASP ASVS / WSTG / API Security Top 10 等
- 利用したツール
- Burp Suite、MobSF、Frida、Prowler、ScoutSuite 等(バージョン含む)
5. 主要所見の要約
| ID | タイトル | カテゴリ | 重大度 | 概要 |
|---|---|---|---|---|
| EX-01 | 例:管理機能の認可不備 | Access Control | High | 一般ユーザが管理機能にアクセス可能 |
重大度は、組織の基準(例:Critical / High / Medium / Low)に合わせる。
6. 個別所見(詳細)
6.X 所見タイトル
- 概要
- 脆弱性またはミスコンフィグの概要説明
- 影響
- ビジネスインパクト、想定される攻撃シナリオ、Kill Chain / ATT&CK 上の位置づけ
- 再現手順
- 前提条件(ログイン状態、利用アカウント等)
- 送信リクエスト(Burp Repeater などの例)
- 確認すべきレスポンスや画面
- 証拠
- スクリーンショット、ログ抜粋、リクエスト/レスポンス等
- 推奨対策
- 実装レベルおよび設計レベルの対策案
7. 攻撃チェーンの整理
- 初期侵入から権限昇格・横展開に至るまでの流れを、ステップごとに記載する。
- 図(DFD、シーケンス図等)を用いて可視化するとよい。
8. 総括と今後の対応
- 発見されたリスクに対する総括
- 優先度の高い改善アクション
- 今後の評価計画(定期 Pentest、マネージドサービスの導入など)
付録
- テスト対象一覧(URL / IP / ポート等)
- 使用したチェックリスト(Web / API / モバイル / クラウド)
- 用語集(必要に応じて)