セキュリティテストで逮捕された専門家が60万ドル勝訴

正当な許可を得てセキュリティテストを実施した専門家2名が不当逮捕で勝訴。サイバーセキュリティ業界の法的リスクを浮き彫りに。

正式な許可を得てセキュリティテストを実施していたにも関わらず逮捕された2名のセキュリティ専門家が、60万ドルの和解金を獲得した。この事件は、サイバーセキュリティ業界が直面する予期しない法的リスクを明らかにしている。

事件の経緯：許可があっても逮捕

ゲイリー・デマーキュリオ氏とジャスティン・ウィン氏は、2019年当時コールファイア・ラボに所属するペネトレーションテスターとして、アイオワ州の裁判所建物でセキュリティ評価を実施していた。

2人はアイオワ州司法部門から正式な書面許可を得ており、「レッドチーム演習」と呼ばれる実際の攻撃手法を模倣したセキュリティテストを行う権限があった。許可書には「物理的攻撃」や「ピッキング」も明記されていたにも関わらず、現場で逮捕されることになった。

この種のテストは、実際の犯罪者やハッカーが使用する手法を用いて、既存の防御システムの強度を評価することを目的としている。

今回の和解は、セキュリティ業界にとって重要な先例となる。ペネトレーションテストは企業や組織のセキュリティ向上に不可欠だが、その実施過程では法的な境界線が曖昧になりがちだ。

日本でも同様のセキュリティテストは増加している。NTTデータやラックなどの企業がペネトレーションテストサービスを提供しているが、今回の事件は「適切な許可があっても法的トラブルに巻き込まれる可能性」を示している。

特に物理的なセキュリティテストでは、建物への侵入や錠前の解除など、一見すると犯罪行為に見える活動が含まれる。現場の警備員や警察官が状況を理解していない場合、今回のような事態が発生する可能性がある。

この事件は、セキュリティテストを依頼する企業側にも重要な教訓を与える。適切な契約書や許可書があっても、関係者全員への事前通知が不十分だと、テスト実施者が法的トラブルに巻き込まれる可能性がある。

日本企業の場合、本社と現場、セキュリティ会社、警備会社間の連携が特に重要になる。トヨタやソニーのような大企業では、グローバルでのセキュリティテストが実施されることも多く、各国の法的環境の違いを理解した上での慎重な計画が求められる。