実務で使えるペネトレーションテスト大全

法的注意点と倫理

Pentest は、本質的に「攻撃と同質の行為」を伴う。そのため、法的・倫理的な前提を理解し、許可された範囲内でのみ実施することが必須である。本章では、日本国内を主な前提としつつ、一般的な注意事項を整理する。

注意:本章は法的助言ではない。個別案件の適法性は、契約・利用規約・適用法令・管轄などに依存するため、組織の法務部門または専門家へ確認すること(要確認)。

本章のゴール

  • 前提:Pentest が攻撃と同等の手法を扱うことを理解している。
  • 到達目標:許可の要否、安全な演習環境、スコープ合意、情報管理といった統制事項を説明し、違法・不適切な実施を回避できる。
  • 対応演習:演習に入る前に、対象範囲・禁止事項・連絡経路・データ取り扱いをチェックリスト化し、演習は exercises/ 配下の環境に限定する。

図0-3 は、Pentest を「許可・合意」から「実施」「証拠管理」「報告」「終了処理」まで一連の統制として捉えるための概要図である。特に、許可された環境に限定すること、取得した情報を適切に取り扱うことは必須となる。

図0-3: Pentest 実施の統制フロー(概要)

flowchart LR
    Permit[許可/合意\n(契約・書面等)] --> Scope[スコーピング\n(対象/手法/期間)]
    Scope --> Rules[ルール\n(禁止事項/連絡経路/負荷上限)]
    Rules --> Exec[実施\n(許可された環境のみ)]
    Exec --> Evidence[証拠/データ管理\n(取得範囲/保存/取り扱い)]
    Evidence --> Report[報告\n(是正に接続)]
    Report --> Cleanup[終了処理\n(停止/破棄/棚卸し)]

許可なき攻撃は犯罪である

情報セキュリティに関連する主な法令として、次のようなものが挙げられる。

  • 不正アクセス行為の禁止等に関する法律(いわゆる不正アクセス禁止法)
  • 刑法(電子計算機使用詐欺、業務妨害など)
  • 個人情報保護法 など

これらの法令や、契約・利用規約等に照らすと、以下の行為は違法または契約違反等となり得る。学習目的であっても実施してはならない。個別事情の判断は、必ず契約・利用規約・法務確認に基づいて行う。

  • システム管理者や所有者から明示的な許可を得ずに、第三者のシステムに対して攻撃行為(スキャン/侵入/情報窃取など)を行うこと
  • 公開 Web サイトやクラウド環境に対して、脆弱性有無を確認する目的であっても、無断で負荷を与えたり設定変更を試みること

本書の内容は、あくまで「正当に許可された範囲内で、セキュリティ向上を目的とした評価を実施する」ことを前提とする。提供者が明示的に診断を許可している制度(学習プラットフォーム、バグバウンティ等)であっても、許可範囲と手順は必ず確認する(要確認)。

安全な演習環境の利用

学習目的であっても、インターネット上の第三者システムを対象に無断で攻撃行為を行うべきではない。安全のため、次の原則を徹底する。

  • 演習は、ローカル PC 上または組織内で許可されたネットワーク内の環境のみで行う
  • 提供者が演習目的で明示的に提供している学習プラットフォームは、利用規約の範囲内で利用する(例:PortSwigger Web Security Academy)
  • AWS などのクラウド環境を利用する場合は、自身が契約し管理するアカウント内の検証用リソースに限定する
  • 本番環境や顧客環境に対するテストは、必ず書面または同等の正式な手続きによる許可を得る

本書に登場する Juice Shop、DVWA、crAPI などの演習用アプリケーションは、攻撃練習を目的として意図的に脆弱な設計となっている。これらを利用し、第三者に迷惑のかからない範囲で学習を進める。

スコーピングと合意

実務として Pentest を実施する場合、以下の事項について事前に合意し、文書化しておくことが望ましい。

  • テスト対象のシステム範囲(ドメイン、IP レンジ、クラウドアカウントなど)
  • 実施してよい攻撃手法(例:DoS 相当の負荷試験を含めるか否か)
  • 実施期間、実施時間帯
  • インシデントが発生した場合の連絡経路
  • 取得した情報の扱いと保存期間

これらの前提が曖昧なままテストを開始すると、業務への影響や法的リスクを招きかねない。本書の総合演習 Part では、スコーピングのサンプルと、合意事項のテンプレートを提示する。

倫理的な責任

Pentest のスキルは、攻撃にも防御にも利用しうる。実務に携わる技術者として、次の点を倫理的責任として認識しておく必要がある。

  • 発見した脆弱性を、適切なルートで報告し、是正に導くこと
  • 自身の知識やツールを、第三者の利益を不当に害する目的で使用しないこと
  • 組織としてのルール(情報管理、守秘義務、ログ取得など)を遵守すること

本書は、読者が「攻撃者と同等の視点」を持ちつつも、その知識を防御や改善のために活用するプロフェッショナルとして振る舞うことを前提とする。

次に読む章

本章のポイント

  • 許可なく第三者システムに対してスキャン/侵入等を行わない(法令違反・規約違反等となり得る。個別事情は要確認)。
  • 演習は「許可された環境」に限定し、クラウドを使う場合も検証用アカウント・検証用リソースに限定する。
  • 実務の Pentest では、スコープ・禁止事項・期間・連絡経路・データ取り扱いを事前合意し、文書化することが重要である。
Edit this page on GitHub