これより、AWS のお客様は、8 つのサービスを事前に承認することなく、AWS インフラストラクチャに対するセキュリティ評価または侵入テストを実施できるようになります。

これらのアクティビティが以下に述べるポリシーに適合していることを確認してください。注意: お客様が AWS インフラストラクチャまたは AWS のサービス自体のセキュリティ評価を実施することは許可されていません。セキュリティ評価の実施中に AWS のサービス内でセキュリティ問題を発見した場合は、すぐに AWS セキュリティにお問い合わせください。

プライベートプレビューおよび NDA – 現在、当社は以下のサービスのセキュリティ評価のためのプレビュープログラムを運営しています。評価を実施する前に、pen-test-nda@amazon.com に連絡して NDA を完了してください。

o Amazon Cloudfront

許可されたサービス – お客様が所有する AWS リソースが以下のサービスを使用している場合、そのリソースに対してセキュリティ評価を実施することができます。このリストは常時更新されています。こちらをクリックしてフィードバック、追加サービスのリクエストをお寄せください。

o Amazon EC2 インスタンス、NAT ゲートウェイ、Elastic Load Balancing
o Amazon RDS
o Amazon CloudFront
o Amazon Aurora
o Amazon API ゲートウェイ
o AWS Lambda 関数および Lambda Edge 関数
o Amazon Lightsail リソース
o Amazon Elastic Beanstalk 環境

禁止されるアクティビティ – 現時点では以下の行為は禁止されています。

o Amazon Route 53 ホストゾーン経由の DNS ゾーンウォーキング
o サービス妨害 (DoS)、分散サービス妨害 (DDoS)、シミュレートされた DoS、シミュレートされた DDoS
o ポートフラッディング
o プロトコルフラッディング
o リクエストフラッディング (ログインリクエストフラッディング、API リクエストフラッディング)

不正使用レポート – AWS がお客様のセキュリティテストに関連するアクティビティについての不正使用レポートを受け取った場合、お客様に転送します。お客様は、通知から 24 時間以内にこれらのレポートに回答する必要があります。回答する際には、報告されたアクティビティの根本的な原因と、報告された問題の再発を防ぐために行ったことの詳細を記入してください。不正使用レポートの手続きに関しては、こちらから詳細をご覧ください。

リセラーの責任 - AWS のサービスのリセラーは、顧客のセキュリティテストアクティビティに関する責任を負います。

すべてのセキュリティテストは AWS セキュリティテストの利用規約に準拠している必要があります (下記を参照してください)。

AWS では、セキュリティテストを、お客様が必要とする客観的な証拠を間違いや中断なしに効率的に集める有益なものにしたいと考えています。以下のヒントは、プロバイダー、AWS、および他の AWS ユーザーに高く評価されつつ、お客様のエクスペリエンスを向上するのに役立ちます。

レート制限 – テストを確実に成功させるために、スキャンを 1Gbps あるいは 10,000 RPS に制限してください。

インスタンスタイプ – 環境への潜在的な中断を最小限に抑えるために、セキュリティ評価から次の EC2 インスタンスタイプを除外することをお勧めします。

o T3.nano
o T2.nano
o T1.micro
o M1.small

IP アドレスのテスト – クラウド環境は動的であるため、テストの開始前にすべての IP アドレスを検証し、IP アドレスの現在の所有権を確認する必要があります。

ご不明な点がありましたら、aws-security-simulated-event@amazon.com までお問い合わせください。

セキュリティテスト (「テスト」)
(a) テストは、以下の AWS のウェブサイトに記載されているサービス、ネットワーク帯域幅、1 分あたりのリクエスト数、インスタンスタイプに制限されます。 

https://aws.amazon.com/jp/security/penetration-testing/

(b) テストは、お客様と AWS の間のアマゾン ウェブ サービス カスタマーアグリーメント (https://aws.amazon.com/jp/agreement/) (「アグリーメント」) の規約の対象となります。

(c) テストは、セキュリティ評価ツールおよびサービス (以下参照) の使用に関する AWS のポリシーに従うものとします。

AWS のツールあるいは AWS のサービスを使用したことによる直接的な結果である脆弱性またはその他の問題を発見した場合、テストの完了後 24 時間以内に aws-security@amazon.com に報告する必要があります。

AWS のセキュリティ評価ツールおよびサービスの使用に関するポリシーによって、他の AWS ユーザーの保護と AWS 全体のサービス品質を確保しながら、AWS アセットのセキュリティ評価を実施する優れた柔軟性が得られます。

AWS アセットのセキュリティ評価を実施するという目的を満たす、公共、プライベート、商用、オープンソースのさまざまなツールやサービスがあるということを AWS は理解しています。「セキュリティ評価」という用語は、AWS アセットでセキュリティ管理の有効性または存在を判断する目的で行われているすべてのアクティビティを指します。これには、AWS アセットに対して、AWS アセット内またはアセット間でリモート実行されている、あるいは仮想化されたアセット自体の中でローカルに実行されているポートスキャニング、脆弱性のスキャニングとチェック、侵入テスト、エクスプロイト、ウェブアプリケーションスキャニング、さらにあらゆる挿入、偽造、ファジング行為などが含まれます。

AWS アセットのセキュリティ評価を実行するためのツールやサービスの選択に制限はありません。ただし、お客様所有の、あるいは他のユーザーの AWS アセットに対するサービス妨害 (DoS) 攻撃や攻撃をシミュレートしたものを実行するためのツールやサービスの利用は固く禁止されています。禁止される行為には、以下が含まれます (ただしこれに限定されません)。

• プロトコルフラッディング (例: SYN フラッディング、ICMP フラッディング、UDP フラッディング)
• リソースリクエストフラッディング (例: HTTP リクエストフラッディング、ログインリクエストフラッディング、API リクエストフラッディング)

DoS に対して脆弱であることが知られているバージョンのリストと比較する目的で、「banner grabbing」などのソフトウェア名とバージョンを判断するための AWS アセットのリモートクエリのみを実行するセキュリティツールは、このポリシーに違反していません。

また、リモートまたはローカルのエクスプロイトのために、セキュリティ評価の一環として、必要に応じて一時的にあるいは永続的に AWS アセットをクラッシュさせるのみのツールやサービスはこのポリシーに違反しません。ただし、前述のように、このツールはプロトコルフラッディングやリソースリクエストフラッディングには関与しない可能性があります。

シミュレートされたものも含み、他の方法において DoS 状態を作成したり、存在を決定したり、実行したりするセキュリティツールは、明示的に禁止されています。

前述のように、いくつかのツールやサービスには、不適切に使用された場合や、明示的なテストやチェック、ツールやサービスの機能として使用された場合に、本質的にあるいは隠れて、実際の DoS 機能が含まれます。そのような DoS 機能を持つセキュリティツールやサービスには、Dos 機能の無効化、解除、あるいは無害化できる明示的な能力が備わっている必要があります。そうでない場合、そのツールやサービスはセキュリティ評価のいかなるファセットにも採用されない可能性があります。

AWS のお客様は、以下の責任を負うものとします。(1) セキュリティ評価を実行するために使用されるツールとサービスが適切に設定され、DoS 攻撃やそのようなシミュレーションを実行しない方法で正常に動作していることを確認する。(2) AWS アセットのセキュリティ評価の前に、使用したツールまたはサービスが DoS 攻撃またはそのようなシミュレーションを実行していないことを独自で検証する。AWS のお客様の責任には、契約したサードパーティがこのポリシーに違反しない方法でセキュリティ評価を実施することを保証することが含まれています。

さらに、お客様のテストやセキュリティ評価によって発生した AWS や他の AWS のユーザーへのすべての損害において、お客様が責任を負うものとします。