エシカルハッカーとは何ですか?

すべてのハッカーはデータ侵害を引き起こし、ランサムウェアを導入する悪者であるという単純な見方をするのは簡単です。しかし、これは真実ではありません。世の中には悪意のあるハッカーがたくさんいます。ハッカーの中には、倫理的かつ合法的にスキルを使用する人もいます。「倫理的ハッカー」とは、正規のシステム所有者との法的合意の範囲内でハッキングを行うハッカーです。

ヒント:ブラック ハット ハッカーの反対として、倫理的ハッカーはホワイト ハット ハッカーと呼ばれることがよくあります。

この核心は、ハッキングが違法となるものを理解することです。世界中でバリエーションはありますが、ほとんどのハッキング法は要約すると、「許可がない場合にシステムにアクセスすることは違法である」というものです。コンセプトはシンプルです。実際のハッキング行為は違法ではありません。それは許可なくそうしているだけです。しかし、それは、本来は違法となる行為を許可する許可が与えられることを意味します。

この許可は、街頭やオンライン上のランダムな人物からだけ得られるものではありません。それは政府からのものでさえあり得ません（ただし、諜報機関はわずかに異なる規則に基づいて運営されています）。許可は、正規のシステム所有者によって付与される必要があります。

ヒント:明確にしておきますが、「正規のシステム所有者」は、必ずしもシステムを購入した人を指すわけではありません。これは、発言する法的責任を正当に有する人物を指します。これで大丈夫です。通常、これは CISO、CEO、または取締役会ですが、許可を付与する権限をチェーンのさらに下流に委任することもできます。

単に口頭で許可を与えることもできますが、これは決して行われません。テストを実施する個人または会社は、本来行われていないテストを行うと法的責任を負うことになるため、書面による契約が必要です。

行動範囲

契約の重要性はどれだけ強調してもしすぎることはありません。これは、倫理的ハッカーのハッキング行為に合法性を与える唯一のものです。契約付与により、指定されたアクションおよび指定されたターゲットに対する補償が与えられます。したがって、契約の範囲を逸脱することは、法的補償の範囲を逸脱し、法律に違反することを意味するため、契約とその範囲を理解することが不可欠です。

倫理的なハッカーが契約の範囲を逸脱すると、法的な綱渡りをすることになります。彼らの行為はすべて技術的には違法です。多くの場合、そのようなステップは偶然であり、すぐに自分自身に気づいてしまいます。適切に対処すれば、必ずしも問題になるわけではありませんが、状況によっては問題になる可能性があります。

提供される契約は、必ずしも特別に調整する必要はありません。一部の企業はバグ報奨金制度を提供しています。これには、オープンな契約を公開し、指定されたルールに従って行動し、発見した問題を報告する限り、誰でも倫理的にシステムのハッキングを試みることを許可することが含まれます。この場合、問題を報告すると、通常は金銭的な報酬が与えられます。

エシカルハッキングの種類

倫理的ハッキングの標準的な形式は「ペネトレーション テスト」、つまりペネトレーション テストです。ここは、1 人以上の倫理的なハッカーがシステムのセキュリティ防御を突破しようとする場所です。エンゲージメントが完了すると、この役割でペンテスターと呼ばれる倫理的ハッカーが調査結果をクライアントに報告します。クライアントはレポートの詳細を使用して、特定された脆弱性を修正できます。個人作業や契約作業を行うこともできますが、多くの侵入テスト担当者は社内リソースであるか、専門の侵入テスト会社が雇用されています。

ヒント:これは「侵入テスト」ではなく「侵入テスト」です。ペネトレーションテスターはペンをテストしません。

場合によっては、1 つ以上のアプリケーションまたはネットワークが安全かどうかをテストするだけでは十分ではありません。この場合、より詳細なテストが実行される場合があります。通常、レッドチームの取り組みには、より広範囲のセキュリティ対策のテストが含まれます。アクションには、従業員に対するフィッシング演習の実行、建物への侵入を試みるソーシャル エンジニアリングの試み、さらには物理的な侵入が含まれる場合があります。レッドチームの演習はそれぞれ異なりますが、コンセプトは通常、最悪の場合の「だからどうなるか」のテストに近いものです。 。「この Web アプリケーションは安全ですが、誰かがサーバー ルームに入ってきて、すべてのデータが保存されているハード ドライブを持ち去ったらどうなるでしょうか。」というようなものです。

企業やシステムに損害を与えるために使用される可能性のあるほとんどすべてのセキュリティ問題は、理論的には倫理的なハッキングの危険にさらされています。ただし、これは、システム所有者が許可を与え、その料金を支払う準備ができていることを前提としています。

悪者に物をあげますか？

倫理的ハッカーは、生活を楽にするためにハッキング ツールを作成、使用、共有します。ブラックハットがこれらのツールを利用してさらなる大混乱を引き起こす可能性があるため、この倫理に疑問を呈するのは当然です。しかし現実的には、攻撃者が自分たちの生活を楽にしようとして、これらのツール、または少なくともそれに似たツールをすでに持っていると考えるのが完全に合理的です。ツールを持たず、ブラックハットの攻撃を困難にしようとすることは、隠蔽されたセキュリティに依存することになります。この概念は、暗号化やセキュリティの世界全般で非常に嫌われています。

責任ある開示

倫理的なハッカーは、Web サイトを閲覧したり製品を使用したりするときに脆弱性に遭遇することがあります。この場合、彼らは通常、正当なシステム所有者に責任を持って報告しようとします。その後で重要なのは、この状況をどのように処理するかです。倫理的に行うべきことは、問題を修正してソフトウェア パッチを配布できるように、正規のシステム所有者に非公開で開示することです。

もちろん、倫理的なハッカーは、そのような脆弱性の影響を受けるユーザーに情報を提供し、ユーザーがセキュリティを考慮した独自の決定を行えるようにする責任もあります。通常、非公開公開から 90 日以内が、修正プログラムを開発して公開するのに適切な時間とみなされます。もう少し時間が必要な場合は延長が認められることもありますが、必ずしも延長されるとは限りません。

たとえ修正が利用できない場合でも、問題の詳細を公に公開することは倫理にかなう可能性があります。ただし、これは、倫理的なハッカーが責任を持って問題を公開しようとしており、一般に、彼らが自分自身を守ることができるように一般ユーザーに情報を提供しようとしていると仮定しています。一部の脆弱性は、実際に動作する概念実証エクスプロイトで詳細に説明される場合がありますが、修正がまだ利用できない場合は詳細が説明されないことがよくあります。

これは完全に倫理的ではないように聞こえるかもしれませんが、最終的にはユーザーに利益をもたらします。あるシナリオでは、企業はタイムリーな修正を提供するという十分なプレッシャーにさらされています。ユーザーは修正バージョンに更新するか、少なくとも回避策を実装できます。あるいは、企業が重大なセキュリティ問題の修正をすぐに展開できないということもあります。この場合、ユーザーは情報に基づいて製品の使用を継続するかどうかを決定できます。

結論

倫理的ハッカーとは、法の制約内で行動するハッカーです。通常、これらは正規のシステム所有者と契約するか、システムをハッキングする許可を与えられます。これは、倫理的ハッカーが責任を持って特定された問題を正規のシステム所有者に報告し、修正できるようにするという条件で行われます。倫理的なハッキングは、「泥棒を捕まえるために泥棒を設定する」ことに基づいています。倫理的ハッカーの知識を利用することで、ブラックハットハッカーが悪用した可能性のある問題を解決できます。エシカルハッカーはホワイトハットハッカーとも呼ばれます。専門家を雇用する場合の「ペンテスター」など、特定の状況では他の用語も使用される場合があります。