A. 倫理的指針 脆弱性診断やペネトレーションテストはあくまで安全性を確認するための活動です。過度なデータの閲覧や取得は機密情報を過剰に取得したと認識される可能性があります。また、脆弱性の有無の確認に必要のないファイル作成や変更などは、対象システムで思わぬ動作や障害を発生させる可能性があります。
そのため、脆弱性の検証は脆弱性を確認するための最低限に留めることとして、過度な検証や実証は慎み、ファイル作成や変更、詳細なデータ閲覧などが必要な場合は、顧客に確認の上で実施することが望ましいでしょう。

A. 倫理的指針 自社製品やソリューションの紹介が、根本的な対策や解決に繋がる場合は良いのかもしれません。しかし、その提案内容が顧客にとっての最善策ではない場合、顧客が製品販売という利益に誘導されている印象を持つことで、信用失墜に繋がる可能性があります。自社製品や自社ソリューションの紹介をしてもよいですが、顧客へのサポートとして、根本対策や解決策を示したうえで最善策が何かを示すことが望ましいでしょう。

A. 倫理的指針 「顧客のために」という誠実さは専門家として不可欠です。しかし、その誠実さは期限の遅延や品質の不安定さを正当化するものではありません。報告書の提出期限など、契約書に明示されていないことであっても約束を確実に遂行するプロ意識を持つようにしましょう。報告書の提出期限の調整が必要となる場合には、調整理由などを含めて顧客と相談、調整することが望ましいでしょう。

A. 倫理的指針 脆弱性診断の報告内容が事実として正しくても、特定の個人や一部のミスだけに注目することはお勧めできません。相手への配慮を欠いたコミュニケーションでは、顧客との協力関係を築けず、信用の失墜に繋がります。円滑に対策を進めるためにも、顧客や担当者の立場を尊重し、信頼関係を築き、共に解決策を探る姿勢が大切です。
初歩的なミスが原因の脆弱性が継続的に発生している場合、開発ルールなど組織的な仕組みに課題が存在する可能性があります。顧客との信頼関係を築き、顧客組織の理解を深めることで、開発ルールがどのような状態であるのか等、根本原因の解決に繋がる分析をすることができるようにもなります。