侵入テスト
侵入テストの AWS カスタマーサポートポリシー
これより、AWS のお客様は、8 つのサービスを事前に承認することなく、AWS インフラストラクチャに対するセキュリティ評価または侵入テスト (次のセクションの「許可されたサービス」に一覧表示しています) を実施できるようになります。
これらのアクティビティが、以下に述べるポリシーに適合していることを確認してください。注: お客様が AWS インフラストラクチャまたは AWS のサービス自体のセキュリティ評価を実施することは許可されていません。セキュリティ評価の実施中に AWS のサービス内でセキュリティ問題を発見した場合は、すぐに AWS セキュリティにお問い合わせください。
AWS がお客様のセキュリティテストに関連するアクティビティについての不正使用レポートを受け取った場合、お客様にそのレポートを転送します。回答する際には、報告されたアクティビティの根本的な原因と、報告された問題の再発を防ぐために実施した内容の詳細を記入してください。詳細はこちらをご覧ください。
AWS のサービスのリセラーは、顧客のセキュリティテストアクティビティに関する責任を負います。
侵入テストのカスタマーサービスポリシー
許可されたサービス
- Amazon EC2 インスタンス、NAT ゲートウェイ、Elastic Load Balancer
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateway
- AWS Lambda 関数および Lambda Edge 関数
- Amazon Lightsail リソース
- Amazon Elastic Beanstalk 環境
禁止される行為
- Amazon Route 53 ホストゾーン経由の DNS ゾーンウォーキング
- サービス妨害 (DoS)、分散サービス妨害 (DDoS)、シミュレートされた DoS、シミュレートされた DDoS(これらは DDoS シミュレーションテストポリシーの対象です)
- ポートフラッディング
- プロトコルフラッディング
- リクエストフラッディング (ログインリクエストフラッディング、API リクエストフラッディング)
その他のシミュレートされたイベント
他のシミュレートされたイベントの承認をリクエストする
AWS では、対応を迅速に行い、進捗状況をお伝えすることに努めています。直接のお問い合わせには、シミュレートされたイベントのフォームを当社に送信してください。(中国(寧夏および北京)の AWS リージョンで運用されているお客様の場合は、こちらのシミュレートされたイベントのフォームをご使用ください。)
日付、関係するアカウント、関係するアセット、連絡先情報(電話番号や予定されているイベントの詳細な説明など)を、忘れずに含めてください。最初にご連絡を受けてから 2 営業日以内に、申請を受け取った旨を、非自動返信でご連絡いたします。
テスト結果
当社からの最終的認可を受け取った後は、お客様の側でそれ以上していただくことはありません。お客様が明示された期間の終わりまでにテストを行ってください。
ネットワーク負荷テスト
ネットワーク負荷テストの実行を希望されるお客様は、弊社の負荷テストポリシーをご確認ください。
DDoS シミュレーションテスト
DDoSシミュレーションテストの実行を希望するお客様は、弊社の DDoS シミュレーションテストポリシーをご確認ください。
利用規約
すべてのセキュリティテストは AWS セキュリティテストの利用規約に準拠している必要があります。
セキュリティテスト:
- サービス、ネットワーク帯域幅、1 分あたりのリクエスト数、インスタンスタイプに制限されます
- お客様と AWS との間でアマゾン ウェブ サービス カスタマーアグリーメントの条件が適用されます
- 次のセクションに含まれるセキュリティ評価ツールおよびサービスの使用に関する AWS のポリシーに従うものとします
AWS のツールあるいは AWS のサービスを使用したことによる直接的な結果である脆弱性またはその他の問題を発見した場合、テストの完了後 24 時間以内に AWS セキュリティに報告する必要があります。
セキュリティ評価ツールおよびサービスの使用に関する AWS のポリシー
AWS のセキュリティ評価ツールおよびサービスの使用に関するポリシーによって、他の AWS ユーザーの保護と AWS 全体のサービス品質を確保しながら、AWS アセットのセキュリティ評価を実施する優れた柔軟性が得られます。
AWS アセットのセキュリティ評価を実施するという目的を満たす、公共、プライベート、商用、オープンソースのさまざまなツールやサービスがあるということを AWS は理解しています。「セキュリティ評価」という用語は、AWS アセットでセキュリティ管理の有効性または存在を判断する目的で行われているすべてのアクティビティを指します。これには、AWS アセットに対して、AWS アセット内またはアセット間でリモート実行されている、あるいは仮想化されたアセット自体の中でローカルに実行されているポートスキャニング、脆弱性のスキャニングとチェック、侵入テスト、エクスプロイト、ウェブアプリケーションスキャニング、さらにあらゆる挿入、偽造、ファジング行為などが含まれます。
AWS アセットのセキュリティ評価を実行するためのツールやサービスの選択に制限はありません。ただし、お客様所有の、あるいは他のユーザーの AWS アセットに対するサービス妨害 (DoS) 攻撃や攻撃をシミュレートしたものを実行するためのツールやサービスの利用は固く禁止されています。DDoSシミュレーションテストの実行を希望するお客様は、弊社の DDoS シミュレーションテストポリシーをご確認ください。
DoS に対して脆弱であることが知られているバージョンのリストと比較する目的で、「banner grabbing」などのソフトウェア名とバージョンを判断するための AWS アセットのリモートクエリのみを実行するセキュリティツールは、このポリシーに違反していません。
また、リモートまたはローカルのエクスプロイトのために、セキュリティ評価の一環として、必要に応じて一時的にあるいは永続的に AWS アセットをクラッシュさせるのみのツールやサービスはこのポリシーに違反しません。ただし、前述のように、このツールはプロトコルフラッディングやリソースリクエストフラッディングには関与しない可能性があります。
シミュレートされたものも含み、他の方法において DoS 状態を作成したり、存在を決定したり、実行したりするセキュリティツールは、明示的に禁止されています。
前述のように、いくつかのツールやサービスには、不適切に使用された場合や、明示的なテストやチェック、ツールやサービスの機能として使用された場合に、本質的にあるいは隠れて、実際の DoS 機能が含まれます。そのような DoS 機能を持つセキュリティツールやサービスには、Dos 機能の無効化、解除、あるいは無害化できる明示的な能力が備わっている必要があります。そうでない場合、そのツールやサービスはセキュリティ評価のいかなるファセットにも採用されない可能性があります。
AWS のお客様は、以下の責任を負うものとします。(1) セキュリティ評価を実行するために使用されるツールとサービスが適切に設定され、DoS 攻撃やそのようなシミュレーションを実行しない方法で正常に動作していることを確認する。(2) AWS アセットのセキュリティ評価の前に、使用したツールまたはサービスが DoS 攻撃またはそのようなシミュレーションを実行していないことを独自で検証する。AWS のお客様の責任には、契約したサードパーティがこのポリシーに違反しない方法でセキュリティ評価を実施することを保証することが含まれています。
さらに、お客様のテストやセキュリティ評価によって発生した AWS や他の AWS のユーザーへのすべての損害において、お客様が責任を負うものとします。