第13章. 報告

本書の全情報のうち、最も重要でありながら見落とされがちなトピックのいくつかをこの章で取り上げる。システムを使って遊ぶことに多くの時間を費やすことはできるが、結局のところ、 、有用で実用的なレポートを作成できなければ、その努力は多かれ少なかれ無駄になってしまう。確かに、あなたは楽しんだが、その楽しみのために報酬を得ることはほとんどないだろう。セキュリティテストの 目的は、アプリケーション、システム、あるいは、ネットワークを、より強固にするか、あるいは、より優れた検知能力によって、防御能 力を向上させることである。報告書の要点は、発見した点を明確に特定し、どのように修復するかを明確に伝えることである。これは、他のテスト作業と同様、習得したスキルである。問題を発見することと、それを伝えることは違う。問題を発見しても、組織に対する脅威とその改善方法を適切に伝えることができなければ、問題は修正されず、攻撃者が悪用する隙を残すことになる。

報告書を作成する際の重大な問題は、組織に対する脅威、その脅威が実現する可能 性、脅威が実現した場合の組織への影響を判断することである。深刻な問題を強調するために、最上級の言葉や形容詞を多用することは、その問題に注意を向けさせる良い方法だと思うかもしれない。しかし、そのようなアプローチは、オオカミを泣かせた少年のことわざに似ている。重大度0の問題（最優先事項）は、人々がすぐに「あなたが評価したものは何も信用できない」と認識するようになるまで、いくつでも抱えることができる。情報セキュリティに真剣に取り組んでいれば、このような認識を持つことは難しいかもしれないが、問題を報告する際には客観的であり続けることが不可欠である。あなたが直接的でストレートであれば、人々はあなたとあなたの発見を真剣に受け止める可能性が高くなる。情報セキュリティには、恐怖、不確実性、疑念（FUD）が十分に存在する。

Kaliの出番は、テストを行うこと以外に、メモを取ったり、データを記録したり、発見を整理したりするのに使えるツールを提供することだ。ワードプロセッサが利用できるので、Kali Linuxでレポートを書くこともできる。Kali Linuxは、テストの開始から終了までずっと使うことができる。

脅威の可能性と深刻度を判断する

脅威の潜在性と重大性を判断することは、セキュリティテストのより困難な部分の一つである。発見した脅威の可能性とリスクを決定する必要がある。問題の1つは、人々がリスクとは何かについて不明確な理解をしていることがあることである。また、リスクと脅威の違いを理解していないこともある。脅威の可能性と重大性の判断について話を進めすぎる前に、これらの用語の理解について、全員が同じページに立とう。明確で理解しやすく、正当性のある勧告をするためには、これらの用語を理解することが決定的に重要なのだ。

リスクとは 確率と損失の積集合である。この2つの要素について定量的な数値が必要である。不確実性があるからリスクがある、と決めつけることはできない。また、損失が大きいからリスクがあると考えることもできない。人はリスクについて考えるとき、カタストロフィー化して最悪のシナリオに飛びつく傾向があるかもしれない。しかし、それでは損失だけを考慮することになり、恐らくうまくいかないだろう。損失と確率の両方を考慮する必要がある。例えば、道路を横断することが（車にはねられたら）死につながる可能性があるというだけで、それが多くのリスクを伴う努力だとは言えない。車に轢かれて命を落とす確率は低い。この確率は、ある特定の地域（例えば私が住んでいる地域）では、交通量が少なく、交通速度もかなり遅いため、低下する。しかし、都市部ではその確率は高くなる。 ...