<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
    <channel>
        <title>Penetration Testing on KnightLiブログ</title>
        <link>https://knightli.com/ja/tags/penetration-testing/</link>
        <description>Recent content in Penetration Testing on KnightLiブログ</description>
        <generator>Hugo -- gohugo.io</generator>
        <language>ja</language>
        <lastBuildDate>Fri, 10 Jul 2026 06:33:49 +0800</lastBuildDate><atom:link href="https://knightli.com/ja/tags/penetration-testing/index.xml" rel="self" type="application/rss+xml" /><item>
        <title>AI Agent による自動ペネトレーションテストは合法か：認可範囲、Strix 系ツール、コンプライアンス</title>
        <link>https://knightli.com/ja/2026/07/10/ai-agent-automated-penetration-testing-legal-compliance/</link>
        <pubDate>Fri, 10 Jul 2026 06:33:49 +0800</pubDate>
        
        <guid>https://knightli.com/ja/2026/07/10/ai-agent-automated-penetration-testing-legal-compliance/</guid>
        <description>&lt;p&gt;AI Agent による自動ペネトレーションテストは合法なのでしょうか。短く言えば、認可、範囲、影響、データ処理、開示手順によります。AI ツールであることやオープンソースであることは、合法性を保証しません。&lt;/p&gt;
&lt;p&gt;Strix のようなツールは、Agent、動的実行、脆弱性検証、報告、修正提案を組み合わせます。防御には有用ですが、境界を明確にする必要があります。&lt;/p&gt;
&lt;p&gt;これは法律助言ではありません。実案件、bug bounty、顧客システム、本番環境、越境テストでは、契約、プラットフォーム規則、現地法、法務判断に従ってください。&lt;/p&gt;
&lt;h2 id=&#34;まず結論&#34;&gt;まず結論
&lt;/h2&gt;&lt;p&gt;AI Agent pentesting は大きく 3 つです。&lt;/p&gt;
&lt;table&gt;
  &lt;thead&gt;
      &lt;tr&gt;
          &lt;th&gt;場面&lt;/th&gt;
          &lt;th&gt;リスク&lt;/th&gt;
      &lt;/tr&gt;
  &lt;/thead&gt;
  &lt;tbody&gt;
      &lt;tr&gt;
          &lt;td&gt;自分のコード、テスト環境、認可済みリポジトリ&lt;/td&gt;
          &lt;td&gt;比較的低いが制御は必要&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;契約に基づく顧客システム&lt;/td&gt;
          &lt;td&gt;書面認可、範囲、時間、報告規則が必要&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;未知の公開サイト、クラウド資産、第三者 API&lt;/td&gt;
          &lt;td&gt;明示的許可なしでは高リスク&lt;/td&gt;
      &lt;/tr&gt;
  &lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;実行前に確認します。&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;対象の所有者は誰か。&lt;/li&gt;
&lt;li&gt;認可は書面で明確か。&lt;/li&gt;
&lt;li&gt;scope に対象ドメイン、API、アカウント、環境が含まれるか。&lt;/li&gt;
&lt;li&gt;Agent がデータを閲覧、コピー、変更、破壊し得るか。&lt;/li&gt;
&lt;li&gt;脆弱性をどう報告し保護するか。&lt;/li&gt;
&lt;li&gt;ログ、承認、レビュー記録を残すか。&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;答えられないなら実行しない方が安全です。&lt;/p&gt;
&lt;h2 id=&#34;ai-agent-がコンプライアンスを敏感にする理由&#34;&gt;AI Agent がコンプライアンスを敏感にする理由
&lt;/h2&gt;&lt;p&gt;従来の scanner は比較的予測可能です。AI Agent はページを探索し、手がかりを組み合わせ、ツールを呼び、検証アイデアを作り、ブラウザや proxy を使い、レポートを保存することがあります。&lt;/p&gt;
&lt;p&gt;認可された環境では有用ですが、未認可対象ではリスクが増えます。&lt;/p&gt;
&lt;h2 id=&#34;認可が第一線&#34;&gt;認可が第一線
&lt;/h2&gt;&lt;p&gt;認可は書面で監査可能にするべきです。&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;対象者;&lt;/li&gt;
&lt;li&gt;許可された domain、IP、repo、app、API;&lt;/li&gt;
&lt;li&gt;除外対象;&lt;/li&gt;
&lt;li&gt;テスト時間;&lt;/li&gt;
&lt;li&gt;テストアカウント;&lt;/li&gt;
&lt;li&gt;自動化の可否;&lt;/li&gt;
&lt;li&gt;脆弱性検証の可否;&lt;/li&gt;
&lt;li&gt;実データアクセスの可否;&lt;/li&gt;
&lt;li&gt;緊急停止連絡先;&lt;/li&gt;
&lt;li&gt;レポートと秘密保持。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;AI Agent の場合はさらに：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;動的探索の可否;&lt;/li&gt;
&lt;li&gt;PoC 生成の可否;&lt;/li&gt;
&lt;li&gt;CI/CD 実行の可否;&lt;/li&gt;
&lt;li&gt;ログ、コード片、リクエストを外部モデルへ送れるか;&lt;/li&gt;
&lt;li&gt;モデル provider とデータ保持。&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;公開サイトは自由にテストできるわけではない&#34;&gt;公開サイトは自由にテストできるわけではない
&lt;/h2&gt;&lt;p&gt;公開アクセス可能でも、API、認証、業務ロジックを自動探査してよいとは限りません。&lt;/p&gt;
&lt;p&gt;特に注意：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;政府、医療、教育、金融;&lt;/li&gt;
&lt;li&gt;重要インフラ;&lt;/li&gt;
&lt;li&gt;第三者 SaaS やクラウド;&lt;/li&gt;
&lt;li&gt;競合サービス;&lt;/li&gt;
&lt;li&gt;ユーザーデータを持つ platform;&lt;/li&gt;
&lt;li&gt;disclosure policy がないシステム;&lt;/li&gt;
&lt;li&gt;自動化テストを禁止するサイト。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Bug bounty や VDP も無制限ではありません。scope、禁止行為、rate、報告手順を守ります。&lt;/p&gt;
&lt;h2 id=&#34;善意の研究にも境界がある&#34;&gt;善意の研究にも境界がある
&lt;/h2&gt;&lt;p&gt;米国 DOJ の CFAA charging policy は good-faith security research に触れていますが、「研究」と呼べばすべて安全という意味ではありません。目的、被害回避、情報の使い方、管轄が重要です。&lt;/p&gt;
&lt;p&gt;国や地域によって扱いは異なります。越境テストは特に慎重に扱います。&lt;/p&gt;
&lt;h2 id=&#34;越境しやすい行為&#34;&gt;越境しやすい行為
&lt;/h2&gt;&lt;h3 id=&#34;1-認可なしの-scan&#34;&gt;1. 認可なしの scan
&lt;/h3&gt;&lt;p&gt;未知の対象に自動 Agent を走らせるのは高リスクです。&lt;/p&gt;
&lt;h3 id=&#34;2-scope-超過&#34;&gt;2. scope 超過
&lt;/h3&gt;&lt;p&gt;&lt;code&gt;staging.example.com&lt;/code&gt; だけが許可されているのに、本番、決済、vendor、社員システムへ進むと scope 外になり得ます。&lt;/p&gt;
&lt;h3 id=&#34;3-実ユーザーデータへのアクセス&#34;&gt;3. 実ユーザーデータへのアクセス
&lt;/h3&gt;&lt;p&gt;脆弱性証明のために大量の実データを読む、保存する、スクリーンショットするのは避けます。&lt;/p&gt;
&lt;h3 id=&#34;4-破壊的検証&#34;&gt;4. 破壊的検証
&lt;/h3&gt;&lt;p&gt;削除、停止、費用発生、アカウントロック、メール送信、支払い変更は個別認可と隔離環境が必要です。&lt;/p&gt;
&lt;h3 id=&#34;5-早すぎる公開&#34;&gt;5. 早すぎる公開
&lt;/h3&gt;&lt;p&gt;合意された窓口から報告し、修正期間を与えます。&lt;/p&gt;
&lt;h3 id=&#34;6-脆弱性で支払いを迫る&#34;&gt;6. 脆弱性で支払いを迫る
&lt;/h3&gt;&lt;p&gt;合意済み bounty 以外で支払いを迫る行為は重大なリスクです。&lt;/p&gt;
&lt;h2 id=&#34;企業で-strix-系ツールを安全に使うには&#34;&gt;企業で Strix 系ツールを安全に使うには
&lt;/h2&gt;&lt;p&gt;低リスクから始めます。&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;ローカルコード;&lt;/li&gt;
&lt;li&gt;専用テスト環境;&lt;/li&gt;
&lt;li&gt;staging;&lt;/li&gt;
&lt;li&gt;PR の quick scan;&lt;/li&gt;
&lt;li&gt;制限された本番 read-only 検証;&lt;/li&gt;
&lt;li&gt;正式な pentest。&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;初日から本番全体に接続しないでください。&lt;/p&gt;
&lt;h2 id=&#34;認可チェックリスト&#34;&gt;認可チェックリスト
&lt;/h2&gt;&lt;table&gt;
  &lt;thead&gt;
      &lt;tr&gt;
          &lt;th&gt;項目&lt;/th&gt;
          &lt;th&gt;確認すること&lt;/th&gt;
      &lt;/tr&gt;
  &lt;/thead&gt;
  &lt;tbody&gt;
      &lt;tr&gt;
          &lt;td&gt;対象範囲&lt;/td&gt;
          &lt;td&gt;domain、IP、repo、API、account&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;除外&lt;/td&gt;
          &lt;td&gt;第三者サービス、決済、SMS、メール、本番データ&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;強度&lt;/td&gt;
          &lt;td&gt;concurrency、rate、時間、深さ&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;データ境界&lt;/td&gt;
          &lt;td&gt;何を閲覧・保存できるか&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;ツール境界&lt;/td&gt;
          &lt;td&gt;network、command、外部モデル&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;secrets&lt;/td&gt;
          &lt;td&gt;API key、test account、cookie&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;logs&lt;/td&gt;
          &lt;td&gt;request、output、report、approval&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;緊急停止&lt;/td&gt;
          &lt;td&gt;contact と rollback&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;disclosure&lt;/td&gt;
          &lt;td&gt;宛先、応答時間、公開ルール&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;人間レビュー&lt;/td&gt;
          &lt;td&gt;AI findings を誰が確認するか&lt;/td&gt;
      &lt;/tr&gt;
  &lt;/tbody&gt;
&lt;/table&gt;
&lt;h2 id=&#34;agent-へのコンプライアンス指示&#34;&gt;Agent へのコンプライアンス指示
&lt;/h2&gt;&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt; 1
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 2
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 3
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 4
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 5
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 6
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 7
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 8
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 9
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;10
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;11
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-text&#34; data-lang=&#34;text&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;You may only test:
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Target: staging.example.com
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Account: dedicated test account
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Window: weekdays 20:00-23:00
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Do not access production domains, payment APIs, SMS APIs, or email sending APIs
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Do not delete, modify, or bulk export data
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Do not perform high-rate requests or bypass rate limits
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Keep only minimal evidence
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Mark uncertainty in all findings
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Do not attempt privilege escalation, lateral movement, or third-party access
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;ただしプロンプトだけに頼らず、network、account、environment でも制限します。&lt;/p&gt;
&lt;h2 id=&#34;cicd-自動化にも境界が必要&#34;&gt;CI/CD 自動化にも境界が必要
&lt;/h2&gt;&lt;ul&gt;
&lt;li&gt;変更コードまたはテスト環境だけを scan;&lt;/li&gt;
&lt;li&gt;untrusted PR に secrets を渡さない;&lt;/li&gt;
&lt;li&gt;機密ログを不明な場所へ送らない;&lt;/li&gt;
&lt;li&gt;高リスク findings は人間が確認;&lt;/li&gt;
&lt;li&gt;merge を止めるのか report のみかを明確にする。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;脆弱性レポート自体が機密情報です。&lt;/p&gt;
&lt;h2 id=&#34;個人研究者への注意&#34;&gt;個人研究者への注意
&lt;/h2&gt;&lt;ul&gt;
&lt;li&gt;自分の project、lab、CTF を優先;&lt;/li&gt;
&lt;li&gt;bug bounty scope を読む;&lt;/li&gt;
&lt;li&gt;許可された方法だけ使う;&lt;/li&gt;
&lt;li&gt;破壊的検証をしない;&lt;/li&gt;
&lt;li&gt;実ユーザーデータを保存しない;&lt;/li&gt;
&lt;li&gt;公式窓口へ報告;&lt;/li&gt;
&lt;li&gt;最小証拠だけ残す;&lt;/li&gt;
&lt;li&gt;「AI が自動でやった」を免責にしない。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;許可や disclosure policy がない場合、能動的な自動テストは避けます。&lt;/p&gt;
&lt;h2 id=&#34;合法でも実施すべきとは限らない&#34;&gt;合法でも実施すべきとは限らない
&lt;/h2&gt;&lt;p&gt;契約上許可されていても、運用リスクがあります。&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;本番ピーク時間;&lt;/li&gt;
&lt;li&gt;実顧客データ;&lt;/li&gt;
&lt;li&gt;アラート疲れ;&lt;/li&gt;
&lt;li&gt;rollback がない;&lt;/li&gt;
&lt;li&gt;外部モデルに機密コードや request を送る。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;コンプライアンスは違法かどうかだけでなく、説明、制御、監査できるかも含みます。&lt;/p&gt;
&lt;h2 id=&#34;参考&#34;&gt;参考
&lt;/h2&gt;&lt;ul&gt;
&lt;li&gt;&lt;a class=&#34;link&#34; href=&#34;https://www.justice.gov/jm/jm-9-48000-computer-fraud&#34;  target=&#34;_blank&#34; rel=&#34;noopener&#34;
    &gt;U.S. Department of Justice：Computer Fraud and Abuse Act charging policy&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a class=&#34;link&#34; href=&#34;https://www.cisa.gov/news-events/directives/bod-20-01-develop-and-publish-vulnerability-disclosure-policy&#34;  target=&#34;_blank&#34; rel=&#34;noopener&#34;
    &gt;CISA：BOD 20-01 Develop and Publish a Vulnerability Disclosure Policy&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a class=&#34;link&#34; href=&#34;https://www.nist.gov/itl/ai-risk-management-framework&#34;  target=&#34;_blank&#34; rel=&#34;noopener&#34;
    &gt;NIST：AI Risk Management Framework&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;まとめ&#34;&gt;まとめ
&lt;/h2&gt;&lt;p&gt;AI Agent による自動ペネトレーションテストの合法性は、AI かどうかではなく、認可、scope、影響制御、データ処理、開示、監査可能性で決まります。明確な境界内では防御に役立ちますが、境界がなければツール自体がリスクになります。&lt;/p&gt;
</description>
        </item>
        
    </channel>
</rss>
