CompTIA PenTest+ 学習ガイド、試験 PT0-0021 によると、作業明細書 (SOW) は、侵入テスト プロジェクトの範囲、目的、成果物、条件を定義する文書です。これは、サービス プロバイダーとクライアントの間で締結される正式な契約であり、タイムライン、予算、リソース、責任など、両者に期待される内容を指定します。SOW は、誤解、対立、法的問題を回避するのに役立つため、侵入テストの取り組みには不可欠です。
CompTIA PenTest+ 学習ガイドには、次のセクションをカバーする SOW テンプレートの例も記載されています1。
* プロジェクトの概要: プロジェクトの目的、範囲、目標、成果物の簡単な概要。
* プロジェクト範囲: 境界、除外事項、前提条件など、テスト対象となる対象システム、ネットワーク、またはアプリケーションの詳細な説明。
* プロジェクトの目的: 脆弱性の特定、セキュリティ体制の改善、規制の遵守など、プロジェクトの期待される成果と利点を明確に述べます。
* プロジェクト成果物: レポート、推奨事項、修復計画など、サービス プロバイダーがクライアントに提供する具体的な製品またはサービスのリスト。
* プロジェクト タイムライン: キックオフ ミーティング、テスト フェーズ、レポート フェーズ、終了ミーティングなど、プロジェクトのマイルストーンと期限のスケジュール。
* プロジェクト予算: 労働時間、旅費、ツール、ライセンスなどのプロジェクトのコストと経費の内訳。
* プロジェクト リソース: チーム メンバー、役割、責任、スキル、機器など、プロジェクトの人的リソースと技術的リソースの仕様。
* プロジェクトの利用規約: 機密保持、責任、保証、紛争解決など、プロジェクトの法的および契約上の側面に関する記述。
CompTIA PenTest+ 学習ガイドでは、評価を開始する前に SOW を作成することがなぜ重要であるかについても説明しています1:
* サービスプロバイダーとクライアントの間で、プロジェクトの範囲と期待について明確な相互理解を確立します。
* プロジェクトの進捗とパフォーマンスを合意された目標に対して測定するための基礎を提供します。
* 目的と成果物。
* プロジェクト中またはプロジェクト後に発生する可能性のある潜在的なリスクや紛争から両当事者を保護します。

オープンソース リサーチとトラフィック スニッフィングは、ターゲット ネットワークまたはシステムにパケットやリクエストを送信しないため、検出される可能性が最小限に抑えられるアクティビティです。オープンソース リサーチは、Web サイト、ソーシャル メディア、ブログ、フォーラムなどの公開されているソースから情報を収集するプロセスです。トラフィック スニッフィングは、ワイヤレスやイーサネットなどの共有メディアを介して送信されるネットワーク パケットをキャプチャして分析するプロセスです。
参照: https://www.sciencedirect.com/topics/computer-science/passive-reconnaissance

Heart bleed バグは、SSH には影響しないオープン SSL バグです。参照: https://www.sos-berlin.com/en/news-heartbleed-bug-does-not-affect-jobscheduler-or-ssh

コミュニケーション エスカレーション パスは、エンゲージメント ルール (ROE) のコンポーネントであり、エンゲージメント中に緊急事態や災害が発生した場合に、侵入テスト担当者に連絡先と対処方法に関するガイダンスを提供します。これには、主要な担当者の連絡先情報と、問題が迅速かつ適切に解決されるようにするための事前定義された手順が含まれます。
エンゲージメント スコープではテストの境界と目的が定義され、SLA (サービス レベル契約) ではパフォーマンスと稼働時間の要件が概説され、SOW (作業明細書) ではタスクと成果物が詳細に規定されます。ただし、コミュニケーション エスカレーション パスでは、緊急時のコミュニケーション プロトコルが具体的に扱われます。
参考文献:
* 交戦規則コンポーネントの説明: OWASP テストガイド
* コミュニケーション計画の重要性を強調する侵入テストの取り組みの例:
アヌビス。