title: “テスト計画書テンプレート(Pentest)” version: “0.1-draft”
テスト計画書テンプレート(Pentest)
本テンプレートは、Pentest 実施前の計画策定に利用することを想定している。
実案件および本書 Part 7 の総合演習で共通して利用可能な構成とする。
1. 背景と目的
- テストの背景(法令対応、監査、リリース前評価等)
- テストの目的(例:新規機能のセキュリティ検証、クラウド移行後の確認)
2. 評価範囲
- 対象システム・コンポーネント
- Web アプリケーション、API、モバイルアプリ、クラウド構成、Linux/コンテナ 等
- 対象ドメイン・IP 範囲
- 対象環境(本番 / 準本番 / ステージング 等)
3. 前提条件・制約
- 許可された攻撃手法(DoS の可否、ソーシャルエンジニアリングの有無等)
- 作業可能時間帯・期間
- 関係者(窓口担当、インシデント連絡先等)
4. 評価基準・リスク評価
- 参照する標準(OWASP ASVS / WSTG / API Security Top 10 等)
- リスク評価基準(DREAD / CVSS / 独自基準 等)
- 重大度ランクと定義
5. テスト観点
- Web
- 認証/セッション管理、アクセス制御、入力値検証、エラーハンドリング 等
- API
- BOLA、Mass Assignment、Rate Limit、不適切なデータ露出 等
- モバイル
- データ保護、通信保護、リバースエンジニアリング耐性 等
- クラウド / インフラ
- IAM、ネットワーク、ストレージ、ログ・監査、SSRF→IMDS 等
6. 体制と役割
- テスト実施者(Pentest チーム)と役割
- システム側窓口、運用・開発担当者
- レビュー担当者(技術・マネジメント)
7. スケジュール
- 準備期間(環境整備、アカウント発行等)
- テスト実施期間
- レポート作成・レビュー期間
- 再テスト(Fix 確認)の予定
8. 成果物
- レポート(本書のレポートテンプレートに準拠)
- PoC 一式(提供範囲・形式は事前に合意)
- 補足資料(ログ、設定ファイル差分等)