CompTIA PenTest+ Study Guide の試験 PT0-0021 によると、作業明細書 (SOW) は侵入テスト プロジェクトの範囲、目的、成果物、条件を定義する文書です。これは、サービスプロバイダーとクライアントの間の正式な契約であり、スケジュール、予算、リソース、責任など、両者に期待される内容を指定します。SOW は、誤解、対立、法的問題を回避するのに役立つため、あらゆる侵入テストの取り組みに不可欠です。
CompTIA PenTest+ Study Guide には、次のセクションをカバーする SOW テンプレートの例も記載されています1:
* プロジェクトの概要: プロジェクトの目的、範囲、目的、成果物の簡単な概要。
* プロジェクトの範囲: 境界、除外、仮定を含む、テスト対象のターゲット システム、ネットワーク、またはアプリケーションの詳細な説明。
* プロジェクトの目標: 脆弱性の特定、セキュリティ体制の改善、規制の順守など、プロジェクトで期待される成果と利点の明確な記述。
* プロジェクト成果物: レポート、推奨事項、修復計画など、サービス プロバイダーがクライアントに提供する具体的な製品またはサービスのリスト。
* プロジェクトのタイムライン: キックオフ ミーティング、テスト フェーズ、報告フェーズ、終了ミーティングなど、プロジェクトのマイルストーンと期限のスケジュール。
* プロジェクト予算: 労働時間、旅費、ツール、ライセンスなど、プロジェクトのコストと支出の内訳。
* プロジェクト リソース: チーム メンバー、役割、責任、スキル、設備など、プロジェクトの人的および技術的リソースの仕様。
* プロジェクトの利用規約: 機密保持、責任、保証、紛争解決など、プロジェクトの法的および契約上の側面についての記述。
CompTIA PenTest+ Study Guide では、評価を開始する前に SOW を作成することが重要である理由も説明されています1:
* サービスプロバイダーとクライアントの間でプロジェクトの範囲と期待についての明確な相互理解を確立します。
* 合意された目標と成果物に対するプロジェクトの進捗とパフォーマンスを測定するための基礎を提供します。
* プロジェクト中またはプロジェクト後に発生する可能性のある潜在的なリスクや紛争から両当事者を保護します。

説明
ワイヤレス接続の使用中にクライアントの機密性を確保する最善の方法は、VPN を使用して侵入テスト会社の VPS に接続することです。これにより、ペネトレーション テスターと VPS 間のトラフィックが暗号化され、第三者による盗聴や傍受が防止されます。VPN を使用すると、ペネトレーション テスターはクライアントのネットワークに安全にアクセスし、ファイアウォールやネットワーク制限をバイパスすることもできます。

説明
グラフィカルユーザーインターフェース 自動生成される説明

ROE は、Rules of Engagement の略で、侵入テストの範囲、目的、方法を定義するガイドラインと制限です。ROE は、テストを開始する前にクライアントとテスターの両方によって合意される必要があり、CVE 番号の要求、脆弱性の開示、システムの悪用など、特定のアクションを実行する権限が含まれている必要があります。明示的な許可なしに CVE 番号を要求したことにより、ペネトレーション テスターは ROE を侵害し、クライアントの信頼と期待に違反した可能性が高くなります。参照：
* 公式 CompTIA PenTest+ 学習ガイド (試験 PT0-002)、第 1 章: ペネトレーション テストの計画と範囲設定、23 ～ 24 ページ。
※CVE～CVE1
* NDA、MSA、SOW、および SLA。QAを外部委託する場合の機密保持契約