上場企業などに対し無断で攻撃を行ったセキュリティ企業、対象からの同意なしでの侵入テスト合法化を主張 70
セキュリティ企業から営業という名の攻撃を受ける日は来るのか 部門より
セキュリティ関連企業スプラウトが、自民党本部 IT戦略特命委員会に対し「グレーゾーン解消制度又は企業実証特例制度適用申請の背景と主旨」という提案を行っている(提案資料PDF)。
現在、対象企業などの同意無しにサーバーなどに対して実際に攻撃や侵入を行って調査するペネトレーションテストは不正アクセス禁止法に抵触する可能性がある。これを合法化することで、研究活動やリスクの早期発見を目的とした調査を迅速に進められるとしている。
政府・自民党は今後セキュリティ技術者を増やすことを目指す政策を進めているが、スプラウトによると「研究活動とリスクの早期発見を目的とした企業ネットワーク・サーバーへのペネトレーションテスト」などを合法化することによってこれを推進できるというスタンスのようだ。
なお、スプラウトは過去にセキュリティ調査と称して上場企業100社に対し無断で攻撃を行っていた疑いがあるが、今回の資料を見る限り、違法である可能性を知りながら無断で調査を行っていたと推測される。