はじめに
セキュリティ評価(例:ペネトレーションテスト、レッドチーム演習、脆弱性診断など)を行う際に、
「何を、どの範囲で、どの方法で実施してよいか」を定めた正式な合意事項 のことです。
RoEを設定することで:
- 法的トラブルを防止できる(不正アクセスと区別するための「お墨付き」になる)
- クライアントとテスター双方の認識を一致させられる
- 業務に影響を与えるリスクを最小化できる
RoEの典型的な内容
-
目的
- 何を評価するのか(例:外部ネットワークの防御力、従業員のフィッシング耐性、インシデント対応能力など)
-
範囲(スコープ)
- 評価対象となるシステム・アプリ・ネットワーク
- 除外する対象(例:本番データベース、生命維持装置に関わるシステム)
-
認可・承認
- 書面での承認(契約書、いわゆる「Get out of jail free card」)
-
期間
- 実施日時(開始日・終了日、時間帯)
- 業務ピーク時間を避ける場合も多い
-
許可される手法
- ネットワークスキャン、Webアプリ診断、ソーシャルエンジニアリングなど
- 明示的に禁止される手法(例:DoS攻撃、破壊的なマルウェア投入)
-
連絡体制
- 連絡先(テスト担当者、クライアント側担当者)
- 異常を発見した場合の報告ルート
-
リスク管理
- 業務への影響を最小化するための手順
- 緊急停止(Kill switch)のルール
-
成果物(Deliverables)
- 提出する報告書の種類(経営層向けサマリー、技術チーム向け詳細レポート)
- 提出期限
RoEが重要な理由
- 法的保護:契約範囲内での活動であることを明確化
- 安全性の確保:誤って業務システムを止めないようにする
- 期待値の調整:クライアントもテスターも同じ理解で進められる
RoEの簡易例(抜粋)
- 目的:会社Webアプリのセキュリティ評価
-
範囲:
www.example.co.jp(ステージング環境含む) - 除外:本番データベースサーバ
- 許可される手法:Webアプリ診断(SQLi, XSS, 認証バイパスなど)
- 禁止される手法:DoS攻撃、ランサムウェア模擬攻撃
- 実施期間:2025年9月10日~14日、09:00~18:00(JST)
- 緊急連絡先:セキュリティ担当(security@example.co.jp / 03-xxxx-xxxx)
doc
https://sansorg.egnyte.com/dl/bF4I3yCcnt/?
まとめ:
Rules of Engagement(RoE)は「合法的かつ安全にセキュリティテストを行うための契約上のガイドライン」 です。