title: “スコーピングとテスト計画” part: “Part 7” chapter: “7-2”
スコーピングとテスト計画
本章では、総合演習におけるスコーピングとテスト計画の策定方法を扱う。これは、実務で Pentest を実施する際の最初のステップに相当する。
本章のゴール
- 前提:スコープ合意の重要性(法的・安全面の制約を含む)を理解している。
- 到達目標:対象範囲・許可手法・期間・成果物を明文化し、標準(ASVS / WSTG / API Security Top 10 等)と対応付けたテスト計画に落とし込める。
- 対応演習:付録『スコーピングシートテンプレート(Pentest)』と『テスト計画書テンプレート(Pentest)』をベースに、演習用のスコーピングシートとテスト計画書を作成する。
図7-2 は、スコーピングとテスト計画を成果物(スコーピングシート/テスト計画書)に落とし込み、次章の評価実施に接続する流れを示す。演習では、テンプレートをベースに記入し、合意事項が後続の作業でブレない状態にする。
図7-2: スコーピングとテスト計画の接続(概要)
flowchart LR
Req[目的・背景] --> Scope[スコーピング\n(対象範囲/許可手法/期間/成果物)]
Scope --> Sheet[スコーピングシート]
Scope --> Plan[テスト計画\n(参照標準/観点/ツール/スケジュール)]
Plan --> Doc[テスト計画書]
Doc --> Exec[評価実施(次章)]
スコーピングの要素
スコーピングでは、少なくとも次の要素を明確にする。
- 対象システムの範囲
- ドメイン、IP アドレス範囲、クラウドアカウント、VPC 等
- 本演習では、Docker 上の疑似環境に限定
- 許可された攻撃手法
- DoS に相当する負荷試験の有無
- ソーシャルエンジニアリングや物理的侵入の有無
- 実施期間と時間帯
- 1 週間カリキュラム内での実施日程、各日の作業時間
- 成果物の定義
- 最低限作成すべきレポート、PoC、ログ類
演習では、これらをテンプレート化した「スコーピングシート」として配布し、参加者が自ら記入する形式とすると、実務への転用が容易になる。
テスト計画の立案
スコーピングを踏まえ、テスト計画書を作成する。典型的な項目は次のとおりである。
- テスト目的と背景
- 利用する標準(OWASP ASVS / WSTG / API Security Top 10 等)
- テスト対象コンポーネントごとの観点(Web、API、モバイル、クラウド、Linux/コンテナ)
- 使用ツール(Burp Suite、MobSF、Frida、Prowler、ScoutSuite 等)
- スケジュール(1 週間の中での配分)
演習では、「計画と実際の乖離」を振り返りに活用するため、計画書を単なる形式ではなく、実際の進行管理に使うことを推奨する。
次に読む章
本章のポイント
- スコーピングでは、対象範囲、許可手法(DoS 等)、期間、成果物を明確化し、テンプレート化したシートで合意形成を行う。
- テスト計画は、目的、参照標準、コンポーネント別観点、使用ツール、スケジュールを整理し、1 週間の進行に落とし込む。
- 計画書は「形式」ではなく進行管理と振り返りの入力として利用し、実施結果との乖離を分析できる状態にする。