脆弱性レポート

• Amazon Web Services (AWS): AWS クラウドサービスまたはオープンソースプロジェクトに関する脆弱性を報告する場合、またはセキュリティ上の懸念がある場合は、aws-security@amazon.com 宛てにお問い合わせいただき、情報をご提供ください。送信内容を保護したい場合は、PGP キーを使用できます。
• Amazon.com (リテール): Amazon.com リテール、Seller Central、Amazon Payments に関するセキュリティ面でのご懸念や、関連する問題 (不審な注文、無効なクレジットカード請求、不審な E メール、脆弱性レポート) については、「Security for Retail」のウェブページにアクセスしてください。
• ペネトレーションテストの AWS カスタマーサポートポリシー: AWS のお客様には、一覧表示されているサービスについて事前に承認を得ることなく、AWS インフラストラクチャに対するセキュリティ評価またはペネトレーションテストを実施していただけます。他のシミュレートされたイベントの承認のリクエストは、シミュレートされたイベントフォームから送信する必要があります。AWS 中国 (寧夏および北京) リージョンで運用されているお客様の場合は、こちらのシミュレートされたイベントのフォームをご使用ください。
• AWS の不正使用: AWS リソース (EC2 インスタンスや S3 バケット) が不審なアクティビティに使用されている疑いがある場合は、Amazon AWS の不正使用の報告フォームを使用するか、abuse@amazonaws.com に連絡して、AWS Abuse Team までご報告ください。
• AWS コンプライアンス情報: AWS コンプライアンスレポートには、AWS Artifact を介してアクセスできます。他にも AWS コンプライアンス関連の質問がございましたら、受付フォームからご連絡ください。

お客様のレポートに効果的に対応させていただくため、脆弱性の性質や重大度を把握するための参考となりそうな資料 (実証コード、ツール出力など) をご提供ください。

このプロセスの一環としてお客様が AWS と共有する情報は、AWS 内で機密に保持されます。AWS は、報告された脆弱性がサードパーティー製品に影響を与えることが判明した場合にのみ、この情報をサードパーティーと共有いたします。その場合、この情報をサードパーティー製品の作成者または製造元と共有します。それ以外の場合、AWS はお客様によって許可された範囲において、この情報を共有します。

AWS はご提出いただいたレポートを確認し、追跡番号を付けます。その後、お客様へのご返信においてレポートの受理をお知らせし、プロセスの次のステップについて概要をお伝えします。

次の活動は、AWS 脆弱性レポートプログラムの範囲外です。以下の活動のいずれかを実施すると、プログラムへの参加資格が永久に剥奪されます。

• AWS のお客様または当社のインフラストラクチャでホストされている AWS のサイト以外のアセットをターゲットにすること
• AWS のお客様または従業員のアカウントの侵害を通じて得られた脆弱性
• AWS 製品または AWS のお客様に対するサービス拒否 (DoS) 攻撃
• AWS の従業員、オフィス、データセンターに対する物理的な攻撃
• AWS の従業員、請負業者、ベンダー、サービスプロバイダーに対するソーシャルエンジニアリング
• マルウェアを故意に投稿、転送、アップロード、リンク、送信すること
• 迷惑メッセージ (スパム) を送信する脆弱性の追跡

AWS は、迅速に応答し、当社の進捗状況をお客様にお伝えすることに努めています。お客様は、24 時間以内に最初のレポートを受け取ったことを確認する非自動応答、適時の更新、および契約期間中の毎月のチェックインを受け取ります。更新はいつでもリクエストできます。また、ご懸念がある場合や、情報開示について不明点がある場合は、お気軽にお問い合わせください。

AWS で適切と判断した場合には、報告者と調整のうえ、検証した脆弱性を公示する手配をいたします。AWS では、各関係者による情報開示はできるかぎり同時に行うことが望ましいと考えております。

お客様の安全を確保するために、AWS では、調査が完了し、対応し、報告された脆弱性に対処し、必要に応じてお客様にご報告するまで、公開設定に関する潜在的な脆弱性に関する情報の投稿や共有を控えるようにお願いしています。また、お客様の保有するデータを投稿または共有しないようにお願い申し上げます。報告された有効な脆弱性への対処にはある程度の時間がかかり、タイムラインは脆弱性の重大度と影響を受けるシステムによって異なります。

AWS はセキュリティ速報の形式で公示し、AWS セキュリティウェブサイトに掲載します。個人、企業、セキュリティチームは通常、自身のウェブサイトや他のフォーラムにアドバイザリを投稿しています。また、関連する場合、当社はそれらのサードパーティーのリソースへのリンクを AWS セキュリティ速報に掲載します。 

AWS は、誠意をもって実施されたセキュリティ調査についてはセーフハーバーが提供されるべきであると考えています。セキュリティ調査と脆弱性の報告のためのセーフハーバーを設けることを目的として、AWS Security は、disclose.io の中核的な条件、具体的には「Safe Harbor」および「Our Expectations」を採用しています。 AWS のお客様を保護するという情熱を共有するセキュリティ研究者と連携することを楽しみにしています。

したがって、このポリシーに基づいて実施されるセキュリティ調査は、次のとおりであると考えています:

• 適用されるハッキング防止関連法令に関して承認されており、そうである限り、このポリシーの善意で偶発的な違反について、お客様に対して法的措置を開始したり、当該措置を支援したりしない。
• 関連する迂回防止関連法令に関して承認されており、そうである限り、テクノロジーコントロールの迂回についてお客様に対して請求を申し立てることはない。
• セキュリティ調査の実施を妨げる可能性のある、サービス条件および/または利用規約の制限から免除され、当社はこれらの制限を限定的に免除する。
• 合法的に、インターネットの全体的なセキュリティに役立ち、誠意を持って実施される。

お客様は常に、適用されるすべての法令を遵守する必要があります。第三者によってお客様に対する法的措置が開始され、お客様がそれまでこのポリシーを遵守していた場合、当社は、お客様の行動がこのポリシーに準拠して実施されたことを知らせるための措置を講じます。

お客様のセキュリティ調査がこのポリシーに準拠しているかどうか懸念がある場合、または不明な点がある場合はいつでも、さらに行動を起こす前に、[疑わしい脆弱性の報告] の下にある前述のチャネルのいずれかを通じてレポートを送信してください。

セーフハーバーは、このポリシーに参加している組織の支配が及ぶ法的請求にのみ適用されること、およびこのポリシーは独立した第三者を拘束するものではないことにご留意ください。

誠意をもって脆弱性開示プログラムにご参加いただくに際して、お客様には次のことをお願いしています:

• このポリシーおよび他の関連する契約に従うことを含め、決まりに従ってください。このポリシーと他の適用可能な条件の間に齟齬がある場合は、このポリシーの条件が優先されます。
• 発見した脆弱性を速やかに報告してください。
• 他者のプライバシーを侵害したり、システムを妨害したりしないでください。また、データを破壊したり、ユーザーエクスペリエンスを損なったりしないでください。
• 脆弱性情報について当社と話し合う場合は、前述のチャネルのみを使用してください。
• 問題を公表する前に、最初の報告の後、問題を解決するための時間として、合理的な猶予を当社が持てるようにしてください。
• テストは対象範囲内のシステムでのみ実行し、対象範囲外のシステムとアクティビティを尊重してください。
• 脆弱性によってデータへの意図しないアクセスが発生した場合: 概念実証を効果的に実証するために必要最小限となるよう、アクセスするデータの量を制限してください。また、個人を特定できる情報 (PII)、個人医療情報 (PHI)、クレジットカードデータ、または専有情報などのユーザーデータをテスト中に目にした場合は、テストを中止して直ちにレポートを提出してください。
• 自分が所有するテストアカウント、またはアカウント所有者から明示的に許可されたテストアカウントのみを使用して操作してください。
• 恐喝行為には関与しないでください。