A. 倫理的指針 発見した脆弱性をどのように扱うかは、組織のリスクマネジメントの問題です。脆弱性にどのようなセキュリティ上のリスクが存在し、どのような選択肢(対応方法)が存在するかをできるだけ正確かつ十分に説明し、リスク対応（低減・受容・移転・回避）の判断に向けたサポートに努めてください。

A. 倫理的指針 脆弱性診断の結果を事実と異なる内容に変更することは、発見された脆弱性の誤った対処に繋がり、第三者評価としての信頼が損なわれます。脆弱性診断の結果を「変更しない」あるいは「変更するには合理的な理由が必要」等をお客様と事前に合意しておくことが必要です。

A. 倫理的指針 脆弱性の検証結果を精査せずに報告すると、製品の開発元に誤検知や再現性のない情報を伝えてしまい、混乱を招く恐れがあります。そのような行為は脆弱性診断士としての信頼を損なう可能性があります。報告する際は、検証や再現確認を十分に行い、根拠をもって正確な情報を提供することが望ましいでしょう。

A. 倫理的指針 脆弱性診断士として、リスクは客観的かつ正確に報告する責任があります。意図的にリスクを誇張したり、過小評価したりすることは顧客に誤った判断を促す可能性のある行為であり、第三者評価としての信頼を損なう可能性があります。

A. 倫理的指針 画面上に表記された内容と異なるロジックが存在すること自体は脆弱性とは言いません。ただし、診断の過程で発見した事実、特にユーザが不利益を被る仕様が存在する場合においては、顧客に報告する際に、脆弱性以外についても、その内容を顧客に伝えることも必要となります。