英国 セキュリティテストをする団体が設立
こんにちは、丸山満彦です。英国でセキュリティテストをする業界団体が設立されたようですね。。。新聞では、「侵入テスト」をする団体となっていますが・・・
【 The Council of Registered Ethical Security Testers (Crest) 】
シラバスもありますね。。。スキルマップづくりなどに参考になるかもですね。。。
・CREST Technical Syllabus Version 1.0
【読売新聞 CNET】
・2008.05.12 英国で侵入テストに関する業界団体が設立
« 金融庁 三菱東京UFJ銀行のシステム障害に対する佐藤金融庁長官記者会見の要旨 | Main | 経済産業省 パブコメ 「マネジメントシステム規格認証制度の信頼性確保のためのガイドライン(案)」 »
Comments
英国では、コンピュータ不正使用法の改正がされていて、ツールの提供等についての刑事罰が制定されています。
「警察および正義法2006(Police and Justice Act 2006)」による同法改正
“3A 1条もしくは3条の使用のための道具の作成、提供、取得」
(1)1条もしくは3条の犯罪を犯すために用いられる、もしくは、犯すのを幇助するために用いられる目的をもって、道具を作成し、改変し、供給し、申し入れる者は有罪である。
(2)1条もしくは3条の犯罪を犯すのに使われる、もしくは、犯すのを幇助するのにつかわれる、ようになりそうだ(likely)と信じて道具を提供する、もしくは、提供することを申し込む者は、有罪である。
(3)1条もしくは3条の犯罪を犯すのに使われる、もしくは、犯すのを幇助するのにつかわれるということを認識して、道具を取得する者は、有罪である。
そんなこといったって、セキュリティテストをする人たちのツールってみんな上の要件にあたるよねということになりますね。そこで、公訴局は、この法の適用の判断基準を提案しています。
Crown Prosecution Service “Computer Misuse Act” (http://www.cps.gov.uk/legal/section12/chapter_s.pdf)
検察官は、両用の道具を扱う場合に、起訴するかどうかについては、以下の要素を検討すべきである
組織、会社、もしくは他の主体は、きっちりとした、時宜にあった契約書、条項、条件もしくは利用方針を有しているか
学生、消費者、他のものが、コンピュータ不正利用法、適法な行為および不適法な行為を意識していているか。
学生、消費者、他のものが、コンピュータ不正使用法を違反するという意図がないという宣誓書に署名しているか。
このような基準なども踏まえて倫理的セキュリティテストに携わる者が、その行動規範をちゃんと守っていますというのが、技術者としての自衛手段として必要だったのかもしれません。(この団体の設立経緯は、フォローしていません)
技術者の行為と社会の折り合いということで、「セキュリティウォーズ」のテーマの一つの局面です。
なお、CeCOSもそんなテーマから切り込んでいきます。(http://www.antiphishing.org/events/2008_operationsSummit_jp.html)
Posted by: 高橋郁夫 | 2008.05.14 17:59
高橋先生、コメントありがとうございます。
さすがに英国事情には詳しいですね。。。なるほど。。。
Posted by: 丸山満彦 | 2008.05.15 07:06