侵入テスト

定義されたセキュリティ標準に対して AWS 環境をテストする

ペネトレーションテストの AWS カスタマーサポートポリシー

AWS のお客様は、[Permitted Services] (許可されたサービス) の下の次のセクションに記載されているサービスについて、事前の承認なしに AWS インフラストラクチャのセキュリティ評価またはペネトレーションテストを実行できます。 さらに、AWS は、お客様がオンプレミス、AWS、またはサードパーティーと契約したテストのために、AWS IP スペースまたは他のクラウドプロバイダー内でセキュリティ評価ツールをホストすることを許可します。Command and Control (C2) を含むすべてのセキュリティテストには、事前の承認が必要です。

これらのアクティビティが、以下に定めるポリシーに適合するようにしてください。注: お客様が AWS インフラストラクチャまたは AWS のサービス自体のセキュリティ評価を実施することは許可されていません。セキュリティ評価で観察されたいずれかの AWS のサービスでセキュリティの問題を発見した場合は、すぐに AWS セキュリティにお問い合わせください

お客様のセキュリティテストに関連するアクティビティについて AWS が不正使用レポートを受け取った場合、お客様にそのレポートを転送します。ご返信いただく際には、ユースケースの詳細 (当社がサードパーティーのレポーターとの間で共有できる連絡先情報を含む) をご記載のうえ、認める旨の文言をご提供ください。詳細については、こちらをご覧ください。

AWS のサービスのリセラーは、お客様のセキュリティテストアクティビティに関する責任を負います。

侵入テストのカスタマーサービスポリシー

許可されたサービス

  • Amazon EC2 インスタンス、WAF、NAT ゲートウェイ、Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS AppSync
  • AWS Lambda 関数および Lambda Edge 関数
  • Amazon Lightsail リソース
  • Amazon Elastic Beanstalk 環境
  • Amazon Elastic Container Service
  • AWS Fargate
  • Amazon Elasticsearch
  • Amazon FSx
  • Amazon Transit Gateway
  • S3 ホストアプリケーション (S3 バケットをターゲットにすることは厳に禁じられています) 

禁止される行為

  • Amazon Route 53 ホストゾーン経由の DNS ゾーンウォーキング
  • Route 53 経由の DNS ハイジャック
  • Route 53 経由の DNS ファーミング
  • サービス妨害 (DoS)、分散サービス妨害 (DDoS)、シミュレートされた DoS、シミュレートされた DDoS (これらは DDoS シミュレーションテストポリシーの対象です)
    ポートフラッディング
  • プロトコルフラッディング
  • リクエストフラッディング (ログインリクエストフラッディング、API リクエストフラッディング) 

承認されていないサービスをテストすることをご希望のお客様は、AWS サポートチームと直接連携する必要があります。 

その他のシミュレートされたイベント

Red/Blue/Purple Team テスト

Red/Blue/Purple Team テストは、組織のセキュリティに対する認識と応答時間をテストするために設計された敵対的セキュリティシミュレーションです

内密の敵対的セキュリティシミュレーションの実行および/または Command and Control (C2) のホスティングをご希望のお客様は、レビューのために「Simulated Events フォーム」を送信する必要があります。 

ネットワーク負荷テスト

ストレステストは、大量の正当なトラフィックまたはテストトラフィックを特定のターゲットアプリケーションに送信して、効率的な運用能力が備わっていることを確認するパフォーマンステストです。エンドポイントアプリケーションは、テストの一環として、その意図された機能を実行することが期待されています。ターゲットを圧倒しようとする試みは、サービス拒否 (DoS) とみなされます。

ネットワーク負荷テストの実行をご希望のお客様は、当社の「負荷テストポリシー」をご確認ください。 

iPerf テスト

iPerf は、ネットワークパフォーマンスの測定と調整のためのツールです。これは、任意のネットワークについて、標準化されたパフォーマンス測定値を生成できるクロスプラットフォームツールです。

iPerf テストの実行をご希望のお客様は、レビューのために「Simulated Events フォーム」を送信する必要があります。 

DDoS シミュレーションテスト

分散型サービス拒否 (DDoS) 攻撃は、攻撃者が複数ソースからの大量のトラフィックを使用して攻撃対象となるアプリケーションの可用性に影響を及ぼそうとする場合に発生します。DDoS シミュレーションテストは、制御された DDoS 攻撃を使用して、アプリケーションの所有者がそのアプリケーションの耐久性を評価し、イベント対応を練習できるようにします。

DDoS シミュレーションテストの実行をご希望のお客様は、当社の「DDoS シミュレーションテストポリシー」をご確認ください。 

フィッシングシミュレーション

フィッシングシミュレーションは、ユーザーから機密情報の取得を試みる、ソーシャルエンジニアリング攻撃のシミュレーションです。これは、組織のセキュリティを強化するために、ユーザーを特定し、有効な E メールとフィッシングメールの違いについて教育することを目標としています。

フィッシングシミュレーションのキャンペーンの実行をご希望のお客様は、レビューのために「Simulated Events フォーム」を送信する必要があります。 

マルウェアテスト

マルウェアテストでは、セキュリティ機能を改善するために、悪意のあるファイルまたはプログラムを、アプリケーションまたはウイルス対策プログラムにさらします。

マルウェアテストの実行をご希望のお客様は、レビューのために「Simulated Events フォーム」を送信する必要があります。 

他のシミュレートされたイベントの承認をリクエストする

AWS は、迅速に応答し、当社における進捗状況をお客様にお伝えすることに努めています。直接のお問い合わせには、シミュレートされたイベントのフォームを当社に送信してください。(中国 (寧夏および北京) の AWS リージョンで運用されているお客様の場合は、こちらの「Simulated Events フォーム」をご使用ください。)

日付、関係するアカウント ID、関係するアセット、連絡先情報 (電話番号や予定されているイベントの詳細な説明など) を必ず含めてください。最初にご連絡を受けてから 2 営業日以内に、リクエストを受け取った旨を、非自動返信でご連絡いたします。

すべての Simulated Event リクエストは、遅くとも開始日の 2 週間前に AWS に送信する必要があります。

テスト結果

当社からの最終的認可を受け取った後は、お客様の側でそれ以上していただくことはありません。お客様は、お客様が示した期間が終了するまでテストを実施できます。

利用規約

すべてのセキュリティテストは AWS セキュリティテストの利用規約に準拠している必要があります。

セキュリティテスト:

  • サービス、ネットワーク帯域幅、1 分あたりのリクエスト数、インスタンスタイプに制限されます
  • お客様と AWS との間の Amazon Web Services カスタマーアグリーメントの条件が適用されます
  • 次のセクションに含まれるセキュリティ評価ツールおよびサービスの使用に関する AWS のポリシーに従うものとします

AWS のツールあるいは AWS のサービスを使用したことによる直接的な結果である脆弱性またはその他の問題を発見した場合、テストの完了後 24 時間以内に AWS セキュリティに報告する必要があります。

セキュリティ評価ツールおよびサービスの使用に関する AWS のポリシー

AWS のセキュリティ評価ツールおよびサービスの使用に関するポリシーによって、他の AWS ユーザーの保護と AWS 全体のサービス品質を確保しながら、AWS アセットのセキュリティ評価を実施する優れた柔軟性が得られます。

AWS アセットのセキュリティ評価を実施するという目的を満たす、公共、プライベート、商用、オープンソースのさまざまなツールやサービスがあるということを AWS は理解しています。「セキュリティ評価」という用語は、AWS アセットでセキュリティ管理の有効性または存在を判断する目的で行われているすべてのアクティビティを指します。これには、AWS アセットに対して、AWS アセット内またはアセット間でリモート実行されている、あるいは仮想化されたアセット自体の中でローカルに実行されているポートスキャニング、脆弱性のスキャニングとチェック、侵入テスト、エクスプロイト、ウェブアプリケーションスキャニング、さらにあらゆる挿入、偽造、ファジング行為などが含まれます。

AWS アセットのセキュリティ評価を実行するためのツールやサービスの選択に制限はありません。ただし、お客様所有の、あるいは他のユーザーの AWS アセットに対するサービス妨害 (DoS) 攻撃や攻撃をシミュレートしたものを実行するためのツールやサービスの利用は固く禁止されています。DDoS シミュレーションテストの実行をご希望のお客様は、当社の「DDoS シミュレーションテストポリシー」をご確認ください。

DoS に対して脆弱であることが知られているバージョンのリストと比較する目的で、「banner grabbing」などのソフトウェア名とバージョンを判断するための AWS アセットのリモートクエリのみを実行するセキュリティツールは、このポリシーに違反していません。

また、リモートまたはローカルのエクスプロイトのために、セキュリティ評価の一環として、必要に応じて一時的にあるいは永続的に AWS アセットをクラッシュさせるのみのツールやサービスはこのポリシーに違反しません。ただし、前述のように、このツールはプロトコルフラッディングやリソースリクエストフラッディングには関与しない可能性があります。
 シミュレートされたものも含み、他の方法において DoS 状態を作成したり、存在を決定したり、実行したりするセキュリティツールは、明示的に禁止されています。

前述のように、いくつかのツールやサービスには、不適切に使用された場合や、明示的なテストやチェック、ツールやサービスの機能として使用された場合に、本質的にあるいは隠れて、実際の DoS 機能が含まれます。そのような DoS 機能を持つセキュリティツールやサービスには、Dos 機能の無効化、解除、あるいは無害化できる明示的な能力が備わっている必要があります。そうでない場合、そのツールやサービスはセキュリティ評価のいかなるファセットにも採用されない可能性があります。

AWS のお客様は、以下の責任を負うものとします。(1) セキュリティ評価を実行するために使用されるツールとサービスが適切に設定され、DoS 攻撃やそのようなシミュレーションを実行しない方法で正常に動作していることを確認する。(2) AWS アセットのセキュリティ評価の前に、使用したツールまたはサービスが DoS 攻撃またはそのようなシミュレーションを実行していないことを独自で検証する。AWS のお客様の責任には、契約した第三者がこのポリシーに違反しない態様でセキュリティ評価を実施するようにすることが含まれています。

さらに、お客様は、お客様によるテストまたはセキュリティ評価の活動によって発生した AWS または他の AWS のお客様に対するすべての損害について責任を負うものとします。 

AWS 事業窓口へのお問い合わせ
ご質問がありますか? AWS のビジネス担当者と連絡を取る
セキュリティ関連の役職をお探しですか?
今すぐご登録ください »
AWS セキュリティの最新情報
Twitter でフォローしてください »