A. 倫理的指針 脆弱性を開発元に報告するためにコミュニケーションをとることは大変だと思います。「IPA　情報セキュリティ早期警戒パートナーシップガイドライン」に連絡すれば開発元への連絡などの対応を仲介してもらうことができます。
どのような製品であっても、将来的にその脆弱性が攻撃者に狙われる可能性が無いとは言い切れません。脆弱性を報告し、対策や修正を促すことは将来的に起こり得る悪用の阻止に繋がります。これは社会の安全安心に貢献するために非常に意義のある行動です。

A. 倫理的指針 修正されていない脆弱性の情報を不用意に公開すると、攻撃者に悪用される危険性があります。情報公開のタイミングや方法を誤ると、専門家としての信頼を損なうだけでなく、法的・倫理的な問題に発展する可能性もあります。発見した脆弱性については、まずは開発元や調整機関へ報告しましょう。
脆弱性情報の公開については、「脆弱性情報開示のためのチートシート」、「JPCERT/CC 解説：脆弱性関連情報取扱制度の運用と今後の課題について（前編）～公益性のある脆弱性情報開示とは何か～」も参考にし、慎重に検討した上で行ってください。

A. 倫理的指針 脆弱性や攻撃に繋がる情報を、悪意を持って利用、第三者に売却する行為は、犯罪や攻撃を助長し、社会の安全安心を脅かすことに繋がります。
脆弱性を発見した場合は、「IPA　情報セキュリティ早期警戒パートナーシップガイドライン」などをもとに、開発者や関連機関など適切な範囲にのみ情報を共有してください。

A. 倫理的指針 ペネトレーションテストにおいても、システムの可用性に対する影響は十分に考慮する必要があります。その上、重要インフラでシステムダウンが発生すると多大な悪影響が予想されます。新たな脆弱性を発見したとしても、とにかく試行するのではなく、顧客（テスト対象）の担当者と相談し、テスト環境で実行するか、報告のみに留める方が望ましいでしょう。

A. 倫理的指針 人命に関わるようなクリティカルなシステムで重大なリスクを発見した場合、即座に対処しないと人命が脅かされる場合があります。脆弱性診断サービスの内容によっては、診断期間中などの緊急での報告を提供していないことが想定されますが、対象がクリティカルなシステムであり、人命にも影響があることを考慮して、診断期間中であっても速やかに顧客に報告することが望ましいでしょう。

A. 倫理的指針 外部に公開していない場合、外部へ公開しているシステムに比べて攻撃を受けるリスクは下がります。しかし、攻撃は外部ネットワークからだけでなく、マルウェア感染や内部不正のように内部ネットワークからも想定しておく必要もあります。特に重要インフラなどは被害を受けた場合に大きな影響を及ぼします。そのため、顧客から助言を求められた際には、外部への公開有無だけではなく、対象システムの様々なリスクを考慮した上で、診断やペネトレーションテストの必要性について、顧客が判断できるような検討材料を提供することが望ましいでしょう。