FACTA誌掲載の『上場企業5割に「サイバー脆弱性」』という記事について

通常、脆弱性検査は委託者である企業と、受託者である診断会社が共同で行うものが多いのですが、当記事の記載からはそうとも読み取れないようなのですが… それらに関して、高木氏、辻氏の意見です。
インターネット
9
スプラウト @sprout_group
本日発売の経済誌FACTAに、スプラウトが行った上場企業100社のサイバー脆弱性調査が掲載されました。 【上場企業5割に「サイバー脆弱性」】 facta.co.jp/article/201411…

これに対して高木氏が次のように質問を投げかけています。しかし当該アカウントからの回答はないようです(Twitter上では)

Hiromitsu Takagi @HiromitsuTakagi
.@sprout_group こんにちわ〜o(^^)o 東証一部上場100社に無断脆弱性検査、すごいですね\(^o^)/ 「危険度 高 脆弱性の種類 SQLインジェクション」のテストは不正アクセス禁止法に抵触しない方法で行なえたのですか(・_・)?

今回の件に関して、辻氏は以下のように述べられています。

辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
上場企業5割に「サイバー脆弱性」:FACTA online bit.ly/1DH8zml
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
本誌を読んだのですが脆弱性がある旨、連絡したところ応答のなかった企業があったとの記述があったので無断で診断を行った可能性が高いですね。脆弱性の診断手法は明示されていないので合法か違法かというところは判断することができません。(続く bit.ly/1DH8zml
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
続き)診断手法の中には実際の攻撃を行って許可を得ていない場合違法となるようなものもありますが、対象の挙動をチェックしてこのパターンに対してこの反応であれば脆弱性アリと判断してもいいだろうというようなものもあります。(続く
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
続き)そのような場合は実際の攻撃を行った場合には通用しないという可能性を残したままになるわけですが、実際の被害を与えない。診断時間に制限がある。などの理由から可能性までで止めておくということを事前にお客様と合意を取ることもあります。(続く
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
続き)今回の記事にあるような診断は、バグハントとどう違うのか?といったような考えもあるかと思います。バグハントでも無許可(もしくはバウンティプログラム、受付窓口がないなど)で行う場合もありますのでアクションという意味では境目が難しいケースもあるのではないかと思います。(続く
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
続き)このあたりは倫理観やスタンスに関係するところかと思うのですが、発見(可能性を含む)した場合にそれを広く知らしめることを行う必要性があるのか否かということは意見の分かれるところだと思います。(続く
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
続き)広く知らしめる場合でも直ぐに公開する方もいれば、対象の組織にのみ知らせたが対応されないのでその手のメーリングリストで公開し、対策をせざるをえなくするという行動に出る方もいらっしゃるかと思います。(続く
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
続き)日本ではIPAの「脆弱性関連情報の届出」を利用する方もいらっしゃることでしょう。この記事の本当の意図するところは分かりませんが、ボク個人としてはこのようなことは行うべきではないと思っています。(続く
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
続き)本誌ではセキュリティ診断の必要性をうたっていました。仮に法的に問題がなかったとしてもセキュリティ診断の必要性をうたうために対策が行われていない企業名を名指しした上で公表する必要を感じないからです。(続く
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
続き)ボクの尊敬するエンジニアの言葉を借りると「医者が患者の健康を思って薬を飲まなければ死ぬ。と大げさ言うのはいいが薬を売りつけるためだけであってはならない」ということだと思います。(終り

コメント

shinichiro takagi @Luxadmn 2014年10月26日
1.絶対にシステムに悪影響を及ぼさないという保証が出来るのか。2.勝手に他人様の脆弱性を把握して良いものか。 どっちもNoだと考えるので無断で診断するのはNGだと考えます。
タモ㌠はおひるねさくせんですっ😸 @tamosan 2014年10月27日
Luxadmn コメントありがとうございます。私も両方の立場(お客側・対応側)を経験したことありますが、こういったものこそ事前のネゴをしっかりとやってから行わないと、どういった事態になるか、また責任の所在がはっきりしないでしょう。よって、これはNGだと思いますよ。
ログインして広告を非表示にする
ログインして広告を非表示にする