セクション: 情報セキュリティプログラム開発

ペネトレーションテストにおいて最も重要なのは、明確な目標と成功・失敗の基準を持つことです。ペネトレーションテストとは、コンピュータシステムまたはアプリケーションに対するサイバー攻撃を模擬的に実施し、悪用可能な脆弱性がないか確認することです。ペネトレーションテストの目的は、対象となるシステムまたはアプリケーションのセキュリティリスクと弱点を特定・評価し、改善のための推奨事項を提供することです。ペネトレーションテストの成功・失敗の基準は、テストの有効性と効率性、そしてテストがどの程度目標を達成したかを測定する指標です。明確な目標と成功・失敗の基準を持つことで、ペネトレーションテスト担当者はテストを体系的かつ構造的に計画・実行し、結果と知見を明確かつ簡潔に伝達・報告することができます。その他の選択肢は、テストに影響を与える要因や考慮事項となる可能性がありますが、ペネトレーションテストにおいて最も重要な問題ではありません。独立したグループにテストを実施させることは、対象となるシステムまたはアプリケーションについて、偏りのない客観的な評価を提供できるため、望ましい方法です。ただし、ペネトレーションテスターが倫理的なハッキングの原則と基準に従っている限り、監査の許可を得ることは必須ではありません。監査の許可を得ることは必須要件であり、ペネトレーションテストが承認され、組織のポリシーと規制に準拠していることを保証するためです。ただし、これはテスト実施の前提条件であるため、問題にはなりません。内部の知識を利用せずにテストを実施することは、対象システムまたはアプリケーションの内部設計や構成にアクセスできない外部ハッカーによる現実世界の攻撃をシミュレートするため、オプションのアプローチです。ただし、一部の脆弱性は外部の視点から隠されていたりアクセスできない可能性があるため、必ずしも実行可能または効果的であるとは限りません。

セクション: 情報リスク管理

説明/参照:
Explanation:
重要な要件は、情報セキュリティマネージャーが、委託先の第三者が委託先のプロセスに適切なセキュリティ要件を遵守する契約上の義務を負っていることを確認することです。これにより、双方の組織が保護されます。その他のすべての手順は契約上の合意に寄与するものの、必須ではありません。