- AWS クラウドセキュリティ›
- 侵入テスト
侵入テスト
ペネトレーションテストの AWS カスタマーサポートポリシー
AWS のお客様は、[Permitted Services] (許可されたサービス) の下の次のセクションに記載されているサービスについて、事前の承認なしに AWS インフラストラクチャのセキュリティ評価またはペネトレーションテストを実行できます。 さらに、AWS は、お客様がオンプレミス、AWS、またはサードパーティーと契約したテストのために、AWS IP スペースまたは他のクラウドプロバイダー内でセキュリティ評価ツールをホストすることを許可します。Command and Control (C2) を含むすべてのセキュリティテストには、事前の承認が必要です。
これらのアクティビティが、以下に定めるポリシーに適合するようにしてください。注: お客様が AWS インフラストラクチャまたは AWS のサービス自体のセキュリティ評価を実施することは許可されていません。セキュリティ評価で確認された AWS サービスのいずれかにセキュリティ上の問題が見つかった場合は、すぐに AWS セキュリティに連絡してください。
お客様のセキュリティテストに関連するアクティビティについて AWS が不正使用レポートを受け取った場合、お客様にそのレポートを転送します。ご返信いただく際には、ユースケースの詳細 (当社がサードパーティーのレポーターとの間で共有できる連絡先情報を含む) をご記載のうえ、認める旨の文言をご提供ください。詳細はこちらをご覧ください。
AWS のサービスのリセラーは、お客様のセキュリティテストアクティビティに関する責任を負います。
侵入テストのカスタマーサービスポリシー
許可されたサービス
- Amazon EC2 インスタンス、WAF、NAT ゲートウェイ、Elastic Load Balancer
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateway
- AWS AppSync
- AWS Lambda 関数および Lambda Edge 関数
- Amazon Lightsail リソース
- Amazon Elastic Beanstalk 環境
- Amazon Elastic Container Service
- AWS Fargate
- Amazon OpenSearch Service
- Amazon FSx
- Amazon Transit Gateway
承認されていないサービスをテストしたいお客様は、AWS サポートまたはアカウント担当者に直接連絡する必要があります。
禁止される行為
承認されていないサービスをテストしたいお客様は、AWS サポートまたはアカウント担当者に直接連絡する必要があります。
- Amazon Route 53 ホストゾーン経由の DNS ゾーンウォーキング
- Route 53 経由の DNS ハイジャック
- Route 53 経由の DNS ファーミング
- サービス拒否 (DoS)、分散型サービス拒否 (DDoS)、
- シミュレートされた DoS、シミュレートされた DDoS (これらの対象となるのは DDoS シミュレーションテストポリシーポートフラッディング
- プロトコルフラッディング
- リクエストフラッディング (ログインリクエストフラッディング、API リクエストフラッディング)
- S3 バケット乗っ取り
- サブドメイン乗っ取り
アウトバウンド侵入テストが禁止されているサービス
- Amazon API Gateway
ページトピック
他のシミュレートされたイベント
すべて開くフィッシングシミュレーションは、ユーザーから機密情報の取得を試みる、ソーシャルエンジニアリング攻撃のシミュレーションです。これは、組織のセキュリティを強化するために、ユーザーを特定し、有効な E メールとフィッシングメールの違いについて教育することを目標としています。
模擬フィッシングキャンペーンの実施を希望するお客様は、模擬イベントフォームを提出して審査を受ける必要があります。
当社からの最終的認可を受け取った後は、お客様の側でそれ以上していただくことはありません。お客様は、お客様が示した期間が終了するまでテストを実施できます。
他のシミュレートされたイベント
利用規約
すべてのセキュリティテストは AWS セキュリティテストの利用規約に準拠している必要があります。
セキュリティテスト:
- サービス、ネットワーク帯域幅、1 分あたりのリクエスト数、インスタンスタイプに制限されます。
- お客様と AWS との間の Amazon Web Services カスタマーアグリーメントの条件が適用されます
- 次のセクションに含まれるセキュリティ評価ツールおよびサービスの使用に関する AWS のポリシーに従うものとします
AWS のツールあるいは AWS のサービスを使用したことによる直接的な結果である脆弱性またはその他の問題を発見した場合、テストの完了後 24 時間以内に AWS セキュリティに報告する必要があります。
セキュリティ評価ツールおよびサービスの使用に関する AWS のポリシー
AWS のセキュリティ評価ツールおよびサービスの使用に関するポリシーによって、他の AWS ユーザーの保護と AWS 全体のサービス品質を確保しながら、AWS アセットのセキュリティ評価を実施する優れた柔軟性が得られます。
AWS アセットのセキュリティ評価を実施するという目的を満たす、公共、プライベート、商用、オープンソースのさまざまなツールやサービスがあるということを AWS は理解しています。「セキュリティ評価」という用語は、AWS アセットでセキュリティ管理の有効性または存在を判断する目的で行われているすべてのアクティビティを指します。これには、AWS アセットに対して、AWS アセット内またはアセット間でリモート実行されている、あるいは仮想化されたアセット自体の中でローカルに実行されているポートスキャニング、脆弱性のスキャニングとチェック、侵入テスト、エクスプロイト、ウェブアプリケーションスキャニング、さらにあらゆる挿入、偽造、ファジング行為などが含まれます。
AWS アセットのセキュリティ評価を実行するためのツールやサービスの選択に制限はありません。ただし、お客様所有の、あるいは他のユーザーの AWS アセットに対するサービス妨害 (DoS) 攻撃や攻撃をシミュレートしたものを実行するためのツールやサービスの利用は固く禁止されています。DDoS シミュレーションテストの実施を希望するお客様は、 DDoS シミュレーションテストポリシーを確認してください。
DoS に対して脆弱であることが知られているバージョンのリストと比較する目的で、「banner grabbing」などのソフトウェア名とバージョンを判断するための AWS アセットのリモートクエリのみを実行するセキュリティツールは、このポリシーに違反していません。
また、リモートまたはローカルのエクスプロイトのために、セキュリティ評価の一環として、必要に応じて一時的にあるいは永続的に AWS アセットをクラッシュさせるのみのツールやサービスはこのポリシーに違反しません。ただし、前述のように、このツールはプロトコルフラッディングやリソースリクエストフラッディングには関与しない可能性があります。
シミュレートされたものも含み、他の方法において DoS 状態を作成したり、存在を決定したり、実行したりするセキュリティツールは、明示的に禁止されています。
前述のように、いくつかのツールやサービスには、不適切に使用された場合や、明示的なテストやチェック、ツールやサービスの機能として使用された場合に、本質的にあるいは隠れて、実際の DoS 機能が含まれます。そのような DoS 機能を持つセキュリティツールやサービスには、Dos 機能の無効化、解除、あるいは無害化できる明示的な能力が備わっている必要があります。そうでない場合、そのツールやサービスはセキュリティ評価のいかなるファセットにも採用されない可能性があります。
AWS のお客様は、以下の責任を負うものとします。(1) セキュリティ評価を実行するために使用されるツールとサービスが適切に設定され、DoS 攻撃やそのようなシミュレーションを実行しない方法で正常に動作していることを確認します。(2) AWS アセットのセキュリティ評価の前に、使用したツールまたはサービスが DoS 攻撃またはそのようなシミュレーションを実行していないことを独自で検証します。AWS のお客様の責任には、契約した第三者がこのポリシーに違反しない態様でセキュリティ評価を実施するようにすることが含まれています。
さらに、お客様は、お客様によるテストまたはセキュリティ評価の活動によって発生した AWS または他の AWS のお客様に対するすべての損害について責任を負うものとします。