ドキュメント11.3. 評価の形式化
Kali環境の準備が整い、評価の種類も定義されれば、作業開始はほぼ完了です。最後のステップは、実施する作業を正式に決定することです。これは非常に重要です。作業に対する期待値を定義し、本来であれば違法となる可能性のある活動を行う許可を与えることになるからです。概要については後ほど説明しますが、非常に複雑かつ重要なステップであるため、組織の法務担当者に確認することをお勧めします。
正式化プロセスの一環として、業務に関する契約ルールを定義する必要があります。これには以下のような項目が含まれます。
• どのシステムとのやり取りが許可されていますか?業務運営に不可欠なシステムに誤って干渉することがないようにすることが重要です。
• 評価は、一日のうちどの時間帯、どの攻撃時間帯に実施できますか?組織によっては、評価作業を実施できる時間帯を制限する場合があります。
• 潜在的な脆弱性を発見した場合、その脆弱性を悪用することは許可されていますか?許可されていない場合、承認プロセスはどのようなものですか?組織によっては、個々の脆弱性悪用に対して非常に厳格なアプローチを取る一方で、より現実的なアプローチを求める組織もあります。作業を開始する前に、これらの期待を明確に定義しておくことが最善です。
• 重大な問題が発見された場合、どのように対処すべきでしょうか?組織によっては、すぐに通知を受けたい場合もありますが、そうでない場合は通常、評価の最後に対処します。
• 緊急の場合は誰に連絡すればよいですか? 何らかの問題が発生したときに誰に連絡すればよいかを知っておくことは常に重要です。
• 誰がその活動を知るのか?どのように伝えるのか?場合によっては、組織は評価の一環として、インシデント対応と検知のパフォーマンスをテストしたいと考えるでしょう。評価のアプローチにおいて、ある程度のステルス性が必要かどうかを判断するために、事前にこの点を把握しておくことは常に良い考えです。
26http://tools.kali.org/category/web-applications 27http://tools.kali.org/category/reverse-engineering 28http://tools.kali.org
• 評価終了時に何が期待されますか?結果はどのように伝えられますか?関係者全員が評価終了時に何を期待しているかを把握してください。成果物を明確に定義することが、作業完了後に全員の満足感を維持するための最善の方法です。
このリストは、網羅的ではありませんが、評価対象となる詳細事項の概要をご理解いただけると思います。しかしながら、優秀な弁護士の代理に勝るものはないことをご理解ください。これらの項目を決定したら、評価を実施するための適切な承認を取得する必要があります。評価の過程で行う活動の多くは、適切な承認を与える権限を持つ者からの承認がなければ違法となる可能性があるためです。
これらすべてが整ったとしても、作業を開始する前に最後にもう1つ、検証を行う必要があります。提供されたスコープを決して信用せず、必ず検証してください。複数の情報源を用いて、スコープ内のシステムが実際にクライアントによって所有され、運用されていることを確認してください。クラウドサービスの普及により、組織はサービスを提供するシステムを実際には所有していないことを忘れてしまうことがあります。作業を開始する前に、クラウドサービスプロバイダーから特別な許可を得なければならない場合もあります。さらに、IPアドレスブロックは常に検証してください。組織がIPブロック全体を所有しているという前提に頼ってはいけません。たとえ組織がIPブロックを攻撃可能なターゲットとして承認したとしてもです。例えば、実際にはIPアドレスのサブセットしか所有していないにもかかわらず、クラスCネットワーク範囲全体の評価を依頼する組織の例があります。クラスCアドレス空間全体を攻撃すると、組織のネットワーク隣接デバイスも攻撃することになります。 OSINT分析 のサブカテゴリ 情報収集 メニューには、この検証プロセスを支援するさまざまなツールが含まれています。