Skip to content

Latest commit

 

History

History
64 lines (44 loc) · 8.81 KB

code_of_ethics.md

File metadata and controls

64 lines (44 loc) · 8.81 KB

脆弱性診断士倫理綱領

脆弱性診断士スキルマッププロジェクトでは「脆弱性診断士倫理綱領」を制定し、脆弱性診断士の行動規範を示すこととしました。

前文

脆弱性診断士は、高い倫理を持ち、適切な手法でITシステムの脆弱性診断を行うことを通じて、安心して利用できるITシステムの実現に努める。 脆弱性診断士は、この倫理綱領を遵守し、品位を保ち、脆弱性診断士として求められる技術や知識を保有し、公正・誠実に行動する。

基本原則

1.公正と誠実

脆弱性診断士は、診断で知り得た事実に関して真実を伝え、適切な対処を促し誠実に対応するように努めなければならない。

2.秘密保持

脆弱性診断士は、正当な理由がなくその業務に関して知り得た秘密を漏らしたり、又は転用してはならない。

3.法令遵守

脆弱性診断士は、法令等や専門職としての倫理を遵守しなければならない。

4.自己研鑽

脆弱性診断士は、専門家としての能力を必要とされる水準に維持し、かつ自らの知識・技能を高めなければならない。

事例集

診断対象外の診断について

顧客獲得目的や自社が利用しているサービスに対して、依頼されていないサイトの診断を行っても良いでしょうか?

依頼されていないサイトへの診断は不正アクセスになる可能性もあるので、自分に権限がないサイトに対しての診断行為は行わないようにして下さい。

お客様システムの開発環境に対して診断を実施していたところ、URLの指定を間違えて、本番環境に対して診断ペイロードを送ってしまいました。その後も本番環境は問題なく動作していることは確認しましたが、お客様へ報告した方がよいでしょうか?

不正アクセス対策などのためにセキュリティ監視部門によって監視されている場合があります。診断ペイロードが攻撃と見なされ、不正アクセスと誤認されるなどトラブルに発展する可能性があるため、速やかにお客様へ報告しましょう。

お客様サイトを診断していたところ、危険度の高い脆弱性を発見しました。この脆弱性を利用して何ができるか気になるので、ファイルを作成したり、サイト内のファイルや機密データを閲覧してもよいのでしょうか?

診断に必要のないファイルの作成は障害を発生させる可能性があります。また、過度なデータの閲覧は機密情報を不正取得したと認識される可能性があります。 脆弱性の過度な検証は慎みましょう。診断では検証は最低限に留めるべきです。それらが診断に必要な場合、お客様の担当者に確認の上、実施しましょう。

お客様サイトを診断した際に見つけた脆弱性について、似たような作りの他のサイトにも脆弱性がありそうなんですが、診断して管理者などに報告した方がよいでしょうか?

事前に診断の認可を得ていないサイトに対して脆弱性診断をした場合、手法によっては不正アクセス禁止法に抵触する可能性があります。また抵触しない手法であっても、セキュリティ監視部門に攻撃と見なされ、通報され、回線が遮断されるなどのトラブルに発展する可能性もあります。必ず合法的で認可されていることを確認してください。

依頼された診断対象範囲外ですが、明らかに脆弱性があるように見えるのでついでに診断を実施してみても良いでしょうか?

明らかに脆弱性があるように見えたとしても、契約外の対象には不正アクセスになる可能性もあるので、決してペイロードを送る行為を行ってはいけません。脆弱性がありそうだと判断した挙動をお客様の担当者にお伝えするのが良いでしょう。

機密保持について

脆弱性診断の提案中にお客様から「同業他社での診断事例について教えてほしい」と依頼されました。どこまで話して良いのでしょうか?

お客様が効果的に脆弱性診断を実施するために、過去の診断事例などの情報を共有する機会は多いと思います。こういった場合には、共有する情報の中に診断の対象となったサイトや脆弱性が存在した箇所などを特定できるような情報を含まないように、十分に注意する必要があります。

お客様システムの診断中、そのシステムに使われているOSSの未報告の脆弱性を発見しました。しかし修正パッチが提供されていないため、お客様に報告する前にOSSコミュニティに脆弱性情報を提供し、修正パッチを作ってもらいたいと考えています。大丈夫でしょうか?

診断で発見した脆弱性については基本的に秘密保持の義務があります。また、お客様との合意がないまま脆弱性情報を開発元へ連絡すると、お客様システムを危険に晒す恐れもあります。そのため、まずはお客様と相談したうえで、修正に向けて対応を検討してください。

ECサイトで脆弱性を発見し、サイトの管理者に報告したが対応されず、長期間放置されています。脆弱性は他のユーザーにも多大な影響があるため、心配です。非公開のSNSで公開し、他の人の意見を求めたところ、公益性を考えて情報を公開した方がよいと言われましたが良いでしょうか?

ECサイト等に存在する脆弱性情報をサイトオーナーに確認することなく公開すると、問題になる場合があります。脆弱性情報の公開については、「脆弱性情報開示のためのチートシート」も参考にし、慎重に検討した上で行ってください。また、非公開SNS等であっても脆弱性情報を公開することで悪用等につながる恐れがあるので避けてください。

その他

脆弱性診断中に、利用者から見える画面上に表記された内容とは異なるロジック(例えば、画面上では「平等に抽選される」と表記されているが、表記と異なるロジックになっている等)を見つけてしまった時、どうすればいいでしょうか?

画面上に表記された内容とは異なるロジックが存在すること自体は脆弱性とは言えませんので、「発見した脆弱性」としてではなく、「バグの可能性があるので、念の為お伝えします」といった形で、発見した内容をお客様に伝えることを推奨します。

脆弱性診断中に致命的な脆弱性を発見したが「経営判断により修正しないこととなった」と担当者から相談があったがどう対応するべきでしょうか。

発見した脆弱性をどのように扱うかは、リスクマネジメントの問題であるため、脆弱性にどのようなセキュリティ上のリスクが存在し、どのような選択肢(対応方法)が存在するかをできるだけ正確かつ十分に説明し、リスク低減に向けたサポートに努めてください。

ソフトウェアの利用規定に「リバースエンジニアリングをしてはならない」という記載があったが、話題の脆弱性がありそうなことや手元で解析する分には誰にも迷惑をかけないので、リバースエンジニアリングを行って分かった事実を公表したいが問題はないか?

2019年に著作権法が改正されたことによって、サイバーセキュリティを確保する目的であれば、著作権を侵害せずにリバースエンジニアリングすることが可能となりましたが、その解釈は統一的ではないというのが現状です。そのため、事前に著作権者の同意があることが望ましいでしょう。 脆弱性情報の公開については、「脆弱性情報開示のためのチートシート」も参考にし、慎重に検討した上で行ってください。