headless 曰く、

米国・アイオワ州の州裁判所庁舎で侵入テストを請け負った業者のスタッフ2名が物理的な侵入テスト中に逮捕されるという事件が11日に発生したのだが、これについて発注側の州裁判所事務局と受注側のセキュリティ企業Coalfireが契約の適用範囲の解釈に違いがあったとの声明を発表した(州裁判所事務局の声明、 Coalfireの声明、 Des Moines Registerの記事、 Ars Technicaの記事、 The Registerの記事)。

11日午前0時30分頃、アイオワ州エイデルのダラス郡裁判所庁舎でアラームが作動したため保安官が駆け付けたところ、侵入用の工具を所持して庁舎3階の廊下を歩いている2名を発見。2名は契約書を見せて侵入許可を得ていると説明し、裁判所事務局も2名を逮捕しないよう求めたが、保安官はダラス郡の納税者のものである建物への侵入許可を出せるものはいないなどとして2名を逮捕してしまう。現在、2名は保釈中であり、容疑は取り下げられていないという。

両者の声明文の大半は同じ内容だが、州裁判所事務局の声明には一部を消した契約関連の書類の写しが添付されている。その一つ(PDF)では作業時間を山地時間月曜日～金曜日の午前6時～午後6時とし、これ以外の時間に行う場合は追加料金が必要になると書かれている。別の書類(PDF)には庁舎への物理的侵入によるセキュリティ評価を昼間と夜(evening)に実施可能だと書かれている。午前0時30分は既に朝(morning)だが、午前0時より前に退出する必要があるとは書かれていない。ただし、この書類には物理的な侵入はその場のスタッフを説得するなどの方法に限定するとも書かれている。

また別の書類(PDF)には物理的な侵入の方法として、スタッフや業者などになりすます、中に入る必要があるという虚偽の説明をする、建物に入る職員について行く、といった方法が挙げられている。逆に、すべきでない侵入方法としてアラーム解除や、ドアを強引に開ける(Force-open doors)ことが挙げられている。州裁判所事務局では当初、力ずくで建物内に入ることは想定していなかったと説明していたそうだが、この部分のことかもしれない。一方、ピッキングやカードキーの偽造による開錠は力ずくではない、とCoalfire側が解釈していた可能性もありそうだ。