Are DDoS Simulation Tests Actually Legal?
2024/02/21 InfoSecurity — サイバー攻撃への対応の方式をテストするためには、DDoS シミュレーションを定期的な実施が推奨される。それより、システムやチームにおける、技術やプロセスのギャップを特定し、DDoS 対応戦略を改善できるかもしれない。しかし、DDoS 攻撃のシミュレーションは合法なのだろうか? DDoS シミュレーション・テストは、ハッカーによる実際の DDoS 攻撃とは、異なる法的カテゴリーに分類される。
たとえば米国では、コンピュータ詐欺および乱用防止法 (Computer Fraud and Abuse Act) により、DDoS 攻撃は重大な懲役刑と罰金を伴うサイバー犯罪とみなされている。ただし、この法律では、”無許可または許可されたアクセスを超える” 行為でなければ、法律違反にならないとも規定されている。
また、英国のコンピュータ不正利用防止法 (Computer Misuse Act) では、違法な DDoS 攻撃について、”障害を意図した無許可の行為” であると明記されている。そのため、英国の National Cyber Security Centre (NCSC) は、デジタル不法侵入が必然的に生じるものであっても、Web ベースのビジネスに対して、”ネットワーク層とアプリケーション層の両方への攻撃” に対する防御能力をテストするよう、公式に推奨するしている。
同様に、イスラエルの政府機関である National Cyber Directorate (INCD) は、サイバー・セキュリティ指導の一環として、DDoS 侵入テストを推奨している。さらに EU においても、最近になって承認されたサイバー・レジリエンス法の一環として、侵入テストを義務化する見通しだ。
つまり、DDoS シミュレーション・テストは、対象となる組織の知識と承認を得て実施されるため、合法的な活動と見なされるということだ。
DDoS テストなどを提供する企業である Red Button では、テストに先立ち、まず承認書を作成する。この承認書には、関連するデジタル環境を管理/所有していることや、計画された DDoS シナリオに同意していることが明記されている。
さらに、同社の DDoS テスト・シミュレーション・サービスが安全で、承認され、リスクがないことを保証するために、最大限の予防措置が講じられる。
- サード・パーティの通知と承認:顧客の ISP/クラウド・プロバイダー/ミティゲーター/データセンターなどの全てが、DDoS テストの詳細に同意していることを確認する。
- AWS/Microsoft Azure の認可:Red Button は、これらのプラットフォームでホストされている顧客のテストを実施できる、数少ない公認 DDoS テスト・パートナーの1つだ。つまり、さらなる通知や許可が無くとも、いつでも一定のトラフィック量までの DDoS テストを実施できる承認を受けていることになる。
- 合法的なリソースの使用:Red Button のボットネットは、合法的に取得したパブリック・クラウド・リソースと、専用の合法的な IP アドレスのみを使用する。つまり、DDoS ボットネットを作成するために、ハッキングで感染させたコンピューターや、IP 成りすましなどの、違法なテクニックを使用する攻撃者とは異なる。
- 完全な顧客管理:明確なコミュニケーション・チャネルを使用し、テスト・シミュレーション全体を通じて 100%の透明性を確保することで、いつでも顧客は、いかなる理由であっても、DDoS テストを中断/停止できるようにする。
- 詳細なシミュレーション記録:DDoS テストが完了した後に、全てのログデータとテスト結果に関する完全なレポートが提供される。それにより、許可された攻撃シナリオの完全な記録だけではなく、それらが顧客の組織と、その DDoS 保護ベンダーに対して、どのような影響を与えたのかという貴重な情報も提供される。
DDoS シミュレーション・テストに対する各国の対応が興味深いでが、一次ソースへのリンクのない記事となっています。日本では、どうなっているのかと思い検索してみましたが、それらしいコンテンツは見つかりませんでした。きっと、何処かに有るのだろうとは思いますが・・・ よろしければ、カテゴリ DDoS も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.