「倫理的な」ハッカーは言う：「ただのハッカーだ。ハッカーであることはもはや悪いことではない」

「倫理的ハッキング」は「冗長な用語」だが、「ハッカー」であることはもはや悪いことではない、と「侵入テスト」として知られるサイバーセキュリティ技術の支持者たちは言う。

かつての Lulzsec ハッカー、ジェイク・デイビス氏と、国外追放を免れたハッカー仲間のローリ・ラブ氏が、侵入テスト業界の Redscan が企画した講演に登場し、偉人、善良な人々、そしてThe Register が、前向きな目的のためのハッキングについて語り合った。

「非常に悪質なハッキングが常にサイバー攻撃と同じカテゴリーに分類されるため、ハッキングはネガティブなイメージを持たれています」とデイビス氏は述べ、「倫理的なハッキング」という言葉を否定し、古風な言葉を受け入れた。「ハッカーと言うべきです。ハッカーであることはもはや悪いことではありません」

ラブ氏はデイビス氏に同意し、「倫理的な」ハッキングとは、コンピューターシステムに侵入することだが、「ハッキング対象と共生関係にある」状況で行われるものと定義できるとの意見を述べた。

「あなたがおっしゃったように、それが諜報主導の侵入テストであるかどうかにかかわらず、その有用性はその関係がどのように機能するか、アクセスを取得する際にどのようなパラメータを設定するか、構築する必要がある信頼、損害を与えないようにするための責任、作成できるアクセスを見つけることによって決まります」と彼は付け加えた。

ペンテスティングの実用性に関しては、英国のペンテスティングおよび認定ビジネスである Crest の社長である Ian Glover 氏は、実際的な方針をとっています。

「すべてを見つけられるわけではありません」と彼は言った。「しかし、最善を尽くすためには、組織に対し、どこに脆弱性があり、どのように対処すべきかについて助言と指導を提供する必要があります。」そして、それを実現するには、防御策をテストすること以上に良い方法があるでしょうか？

ファースト・グループのCISO、ジャイルズ・アシュトン＝ロバーツ氏は、この慣行に伴う法令遵守の懸念をむしろ懸念していました。多国籍運輸会社である同氏が遵守しなければならない規制の数々（EUのネットワーク情報セキュリティ指令、GDPR、オンライン決済分野ではPCI-DSSなど）を詳しく説明した上で、同氏は次のように述べています。「ペネトレーションテスターと連携し、年間を通して一連のペネトレーションテストを実施しています。…次回のペネトレーションテストでは、発見された脆弱性のギャップを埋める作業を確実に行います。」

これを裏付けるように、ローゼンブラットの技術・知的財産弁護士アンソニー・リー氏は、次のように鋭く指摘している。「組織は個人データよりも、誰かが侵入してシステムに悪さをすることのほうが心配なのです。問題は、金庫を開けることはできても、中身を見ることができないということです。」

デイビス氏はこのアイデアにかなり感銘を受けた。数年前にLulzSec時代を終えて以来、セキュリティコンサルタントとして活動してきた彼はこうコメントした。「金庫を開けて中身を確認し、その後は中身を見なかったふりをして、たくさんの書類に署名する。あるいは場合によっては、金庫の中の書類は恐ろしいサイバー兵器なので複製できないと書かれた書類に署名することもあるだろう。」

これに続き、現在オーストラリアの情報セキュリティ企業に勤務するラブ氏は、ペンテスターと業界の間の緊張関係を次のようにまとめた。

これらすべての見解は、適切なスキルと経験を備えたペンテスターが手元にいれば素晴らしいものですが、いつものように、新しく資格を得た人と経験豊富な人員との間のギャップが頭痛の種となる可能性があります。

レッドスキャンのサイバーセキュリティ担当ディレクター、マーク・ニコルズ氏は、「入社する人材の質に関して、質の問題を目の当たりにしてきた、あるいは実際に目にしてきた。資格取得者や大学を卒業したばかりの人材には、実務経験が不足している。大学では、より優秀なハッカーを育成する上で大いに役立つであろう、そのレベルの（綿密な）経験が不足しているのかもしれない」と述べた。

業界は、事前に不安が解消されていれば、ペネトレーションテストを歓迎します。ペネトレーションテスター（あるいは倫理的ハッカー、呼び方は自由です）は喜んでその作業を引き受けます。必要なのは、十分なスキルを持つ人材だけです。そして、そのような人材は簡単に見つかります。そうでしょう？®