logo of RainbowLink Inc.

某社にセキュリティ診断を依頼し、「侵入経路はない」と言われましたが、自分と社員は「侵入されている」と思っています。ここでは詳細は言えませんが、仕事を受けていただければ根拠をお見せできます。そもそも、私どもは、「侵入されている」と思ったからこそ、「どこから侵入されたのか」を知りたかったわけです。こういう状況は、御社は、どういう状況だと思いますか? 今の段階で、私どもの言い分を信じていただけますか? 「頭がおかしい」とか思いませんか?

ご連絡ありがとうございます。

「頭がおかしい」とは思いませんし、あなたと社員様のことを信じます。

なぜなら、「『侵入されている』と思った」というのは、ログをご覧になってそうお思いになったものと推察するからです。この推察のとおりだといたしますと、私どものような業者は、一般的には、ログチェックはフォレンジックサービスとして承るかと存じますが、「外部から侵入された」ことが明確であるのであれば、脆弱性診断でも侵入口を把握できるだろうとも思います。お客様の環境によっては、「侵入口が判明すると、犯人が自ずから絞られる」ということも充分ありうると思います。

「こういう状況は、御社は、どういう状況だと思いますか? 」というご質問につきましてでござますが、はい、私どもは、「あなたと社員様の把握しておられること」を「事実」であると捉え、「お取引先様が御社にご提出なさった診断結果」を「事実とは異なるもの」と捉えます。

「事実とは異なる」と申しましても、御社のお取引先様が「嘘をついている」と申し上げたいわけでもありません。私どもは、御社のお取引先様は、脆弱性診断(とおそらくフォレンジック)をなさり、「法律上問題がない」という意味のことがおっしゃりたかったのではないかと考えます。

もちろん、御社のお取引先様は、御社には、「法律上問題がない」とはおっしゃらなかったでしょう。単に、「問題がない」とおっしゃったものと推察いたします。「法律上問題がない」というのは、「侵入経路があり、侵入されていることは侵入されているが、その侵入行為をもって相手に損害賠償を請求することができない(あるいは、できたとしても小額になることが分かっている)」という意味です。御社のお取引先様は、「法律上問題がある場合」、もっとはっきり言えば、「御社が法的手段に訴えてもペイする場合」のみを、「問題」として御社に報告するおつもりだったのではないでしょうか。

この点、私どもは、侵入者(加害者)の法的(ないしは社会的な)地位を一切考慮せず、「侵入は侵入」「被害は被害」と位置づけますので、御社のお取引先様とは「侵入」ないし「被害」の捉え方が違います。

従いまして、御社が「侵入口が存在するのであれば、侵入口として把握したい」「のちにフォレンジックや社内環境によって犯人を割り出せたところで法的手段に訴えることができなかったとしても、その侵入経路を掴みたい」とおっしゃるのであれば、私どもがお役に立てる可能性は高うございます。

なお、私どもは、脆弱性診断のなかでフォレンジックは行いません。脆弱性診断とフォレンジックとは別のお仕事として承りますので、ご注意ください。

( , JST )

このページのURL: https://jp.rainbow-link.com/FAQ.htm?&faq_id=402


jp.Rainbow-Link.com

株式会社レインボーリンク

rainbowlinkinc2