Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

title: “法的注意点と倫理” part: “Part 0” chapter: “0-3”

法的注意点と倫理

Pentest は、本質的に「攻撃と同質の行為」を伴う。そのため、法的・倫理的な前提を理解し、許可された範囲内でのみ実施することが必須である。本章では、日本国内を主な前提としつつ、一般的な注意事項を整理する。

本章のゴール

  • 前提:Pentest が攻撃と同等の手法を扱うことを理解している。
  • 到達目標:許可の要否、安全な演習環境、スコープ合意、情報管理といった統制事項を説明し、違法・不適切な実施を回避できる。
  • 対応演習:演習に入る前に、対象範囲・禁止事項・連絡経路・データ取り扱いをチェックリスト化し、演習は exercises/ 配下の環境に限定する。

許可なき攻撃は犯罪である

情報セキュリティに関連する主な法令として、次のようなものが挙げられる。

  • 不正アクセス行為の禁止等に関する法律(いわゆる不正アクセス禁止法)
  • 刑法(電子計算機使用詐欺、業務妨害など)
  • 個人情報保護法 など

これらの法令に照らすと、以下の行為は明確に違法となる。

  • システム管理者や所有者から明示的な許可を得ずに、第三者のシステムに対して攻撃行為(スキャン/侵入/情報窃取など)を行うこと
  • 公開 Web サイトやクラウド環境に対して、脆弱性有無を確認する目的であっても、無断で負荷を与えたり設定変更を試みること

本書の内容は、あくまで「正当に許可された範囲内で、セキュリティ向上を目的とした評価を実施する」ことを前提とする。

安全な演習環境の利用

学習目的であっても、インターネット上の第三者システムを対象に攻撃行為を行うべきではない。安全のため、次の原則を徹底する。

  • 演習は、ローカル PC 上または組織内で許可されたネットワーク内の環境のみで行う
  • AWS などのクラウド環境を利用する場合は、自身が契約し管理するアカウント内の検証用リソースに限定する
  • 本番環境や顧客環境に対するテストは、必ず書面または同等の正式な手続きによる許可を得る

本書に登場する Juice Shop、DVWA、crAPI などの演習用アプリケーションは、攻撃練習を目的として意図的に脆弱な設計となっている。これらを利用し、第三者に迷惑のかからない範囲で学習を進める。

スコーピングと合意

実務として Pentest を実施する場合、以下の事項について事前に合意し、文書化しておくことが望ましい。

  • テスト対象のシステム範囲(ドメイン、IP レンジ、クラウドアカウントなど)
  • 実施してよい攻撃手法(例:DoS 相当の負荷試験を含めるか否か)
  • 実施期間、実施時間帯
  • インシデントが発生した場合の連絡経路
  • 取得した情報の扱いと保存期間

これらの前提が曖昧なままテストを開始すると、業務への影響や法的リスクを招きかねない。本書の総合演習 Part では、スコーピングのサンプルと、合意事項のテンプレートを提示する。

倫理的な責任

Pentest のスキルは、攻撃にも防御にも利用しうる。実務に携わる技術者として、次の点を倫理的責任として認識しておく必要がある。

  • 発見した脆弱性を、適切なルートで報告し、是正に導くこと
  • 自身の知識やツールを、第三者の利益を不当に害する目的で使用しないこと
  • 組織としてのルール(情報管理、守秘義務、ログ取得など)を遵守すること

本書は、読者が「攻撃者と同等の視点」を持ちつつも、その知識を防御や改善のために活用するプロフェッショナルとして振る舞うことを前提とする。

本章のポイント

  • 許可なき攻撃は犯罪であり、学習目的であっても第三者システムを対象にしてはならない。
  • 演習は「許可された環境」に限定し、クラウドを使う場合も検証用アカウント・検証用リソースに限定する。
  • 実務の Pentest では、スコープ・禁止事項・期間・連絡経路・データ取り扱いを事前合意し、文書化することが重要である。