事例: 法令等の遵守#
Q. 事例
顧客獲得目的や自社利用サービスの安全性確認を目的とした、許可を得ていないシステムへの診断#
A. 倫理的指針
診断を実施する許可を得ていないシステムへの診断は不正アクセス禁止法などの法律に抵触する可能性があります。顧客から依頼されたとしても、許可を得ていないシステムに対しては診断行為を行わないようにしてください。
自社で利用しようとしているサービスに不安があり診断したい場合は、管理者に連絡を取って診断の許可を得るようにしましょう。
自社で利用しようとしているサービスに不安があり診断したい場合は、管理者に連絡を取って診断の許可を得るようにしましょう。
Q. 事例
脆弱性が存在する可能性が高いシステムへの未許可での検証#
A. 倫理的指針
善意での調査やデモンストレーションが目的であっても、許可を得ていないシステムに脆弱性診断をした場合、不正アクセス禁止法などの法律に抵触する可能性があります。またそれらに抵触しない手法であっても、セキュリティ監視部門に攻撃と見なされ、トラブルに発展する可能性もあります。脆弱性が存在する可能性が高いと思われるシステムを見つけた際には、適切な報告ルートを通じて管理者に連絡してください。
Q. 事例
診断対象システムで発見した脆弱性に関して、同顧客が持つ類似システム(診断対象外)への診断や検証#
A. 倫理的指針
善意での調査やデモンストレーションが目的であっても、許可を得ていないシステムに脆弱性診断をした場合、不正アクセス禁止法などの法律に抵触する可能性があります。またそれらに抵触しない手法であっても、セキュリティ監視部門に攻撃と見なされ、トラブルに発展する可能性もあります。診断を実施する場合は許可されていることを確認してください。また、顧客と会社が締結した診断に関する契約内容を把握・理解し、そこから逸脱しないようにしてください。
Q. 事例
診断対象外の環境に診断ペイロードを送信した際に、影響が無いように見えたため未報告とする#
A. 倫理的指針
影響が無いように見えたとしても、不正アクセス対策などのためにセキュリティ監視部門によって監視されている場合があります。診断ペイロードが攻撃と見なされ、不正アクセスと誤認されるなどトラブルに発展する可能性があるため、速やかに顧客に報告しましょう。
Q. 事例
サイバー攻撃を仕掛けるための副業依頼の受諾#
A. 倫理的指針
サイバー攻撃を目的とした脆弱性調査や協力行為は、不正アクセス禁止法などの法律に抵触する可能性があります。活動実績を評価した等を口実にした相談の持ちかけや高額な報酬が提示された場合であっても、サイバー犯罪に加担する依頼を受け入れることは絶対に許されません。発覚した際には刑事責任を負うだけでなく、脆弱性診断士としての信用を失い、社会的にも重大な制裁を受けることになります。
Q. 事例
ソフトウェアの脆弱性調査のために、そのソフトウェアの利用規定では禁止されているリバースエンジニアリングを実施#
A. 倫理的指針
2019年の著作権法の改正施行によって、セキュリティを確保する目的であればリバースエンジニアリングを行っても著作権侵害には当たらないと解釈されるようになりました。
ただし、利用規定や契約などによって禁止されている場合、それに違反する行為に当たる可能性があります。また、損害が発生した場合には、賠償等の責任を負う可能性があります。
脆弱性調査など正当な理由がある場合は、事前に著作権者の同意を得ることが望ましいでしょう。
同意が得られない場合は、上記のリスクを踏まえた上でリバースエンジニアリングを実施するのかを慎重に検討してください。必要に応じて社内の法務部門や弁護士に相談するとよいでしょう。
リバースエンジニアリングによって発見した脆弱性情報の公開については、「脆弱性情報開示のためのチートシート」を参考にしてください。
ただし、利用規定や契約などによって禁止されている場合、それに違反する行為に当たる可能性があります。また、損害が発生した場合には、賠償等の責任を負う可能性があります。
脆弱性調査など正当な理由がある場合は、事前に著作権者の同意を得ることが望ましいでしょう。
同意が得られない場合は、上記のリスクを踏まえた上でリバースエンジニアリングを実施するのかを慎重に検討してください。必要に応じて社内の法務部門や弁護士に相談するとよいでしょう。
リバースエンジニアリングによって発見した脆弱性情報の公開については、「脆弱性情報開示のためのチートシート」を参考にしてください。