私たちの適正利用規約では、禁止されているセキュリティ違反やネットワーク不正使用をはじめ、AWS で許可されている行為と禁止されている行為について説明しています。ただし、侵入テストと他のシミュレートされたイベントはこれらの行為と区別できないことがよくあるため、AWS では AWS 環境への、または AWS 環境からの侵入テストと脆弱性スキャンを実施する許可をお客様がリクエストできるポリシーを確立しました。
任意の AWS リソースへの、または AWS リソースからの侵入テストの承認をリクエストするには、AWS 脆弱性/侵入テストリクエストフォームに必要事項を記入して、送信してください。侵入テストのリクエストに関して注意すべき複数の重要事項があります。
- すべての侵入テストに許可が必要です。
- 許可をリクエストするには、テストを希望するインスタンスに関連付けられているルート認証情報を使用して、AWS ポータルにログインする必要があります。これを行わないと、フォームが正しく事前入力されません。サードパーティにテストの実施を依頼する場合は、フォームに必要事項を記入して、AWS から承認が下りた時点でサードパーティに通知する必要があります。AWS では、サードパーティのテスト企業は承認されません。
- AWS のポリシーでは、以下のリソースに対するテストのみが許可されます。
- EC2
- RDS
- Aurora
- CloudFront
- API ゲートウェイ
- Lambda
- Lightsail
- DNS Zone Walking
- 現時点において、当社のポリシーでは、スモール RDS インスタンスまたはマイクロ RDS インスタンスのテストは許可されていません。m1.small、t1.micro、または t2.nano の EC2 インスタンスのテストは許可されていません。これは、他のお客様と共有する可能性のあるリソースのパフォーマンスに悪影響が及ぶ可能性を未然に防ぐためです。
フォームには、テストを希望するインスタンスに関する情報と、テストの開始および終了の予定日時を記入して、送信していただく必要があります。また、侵入テスト、およびテストで使用する適切なツールに関する利用規約を読み、それに同意していただく必要があります。終了日は開始日から 90 日以内にする必要があります。
このプロセスの一環としてお客様が AWS と共有する情報は、AWS 内で機密保持されます。お客様の許可なしにそれがサードパーティと共有されることはありません。
AWS では、最長で 2 営業日以内に、リクエストの内容を確認し、お客様に返信します。リクエストが承認されると、お客様に承認番号が送信されます。お客様にお伺いしたいことがある場合は、ご質問させていただきます。再確認事項が多いとこのプロセスが遅れる可能性がありますので、十分に計画し、最初のリクエストでできるだけ詳細な情報を提供してください。
脆弱性テストと侵入テストの承認プロセスに関してご質問がある場合は、aws-security-cust-pen-test@amazon.com まで E メールでご連絡ください。
• セキュリティシミュレーションまたはセキュリティゲームデー
• サポートシミュレーションまたはサポートゲームデー
• 戦争ゲームシミュレーション
• ホワイトカード
• レッドチームテストおよびブルーチームテスト
• 災害対策シミュレーション
• その他のシミュレートされたイベント
aws-security-simulated-event@amazon.com まで直接 E メールでご連絡ください。イベントについてご連絡いただく際は、以下の情報を含むイベントの詳細をお知らせください。
• 日付
• イベントに関与するアカウント
• イベントに関与するアセット
• 電話番号を含む連絡先
• 計画されたイベントの詳細な説明
AWS では、迅速に応答し、進捗状況をお伝えすることに努めます。最初にご連絡を受けてから 2 営業日以内に、申請を受け取った旨を非自動返信でご連絡いたします。
お客様がリクエストと一緒に提出された情報は、確認後に適切なチームに引き渡され、評価されます。このようなリクエストの性質から各申請は手作業で確認されるため、返信には最長で 7 日かかります。評価の完了に追加情報が必要であるかどうかに応じて、最終決定にはさらに長い期間がかかる可能性があります。
当社からの最終的認可を受け取った後は、お客様の側でそれ以上していただくことはありません。お客様が明示された期間の終わりまでにテストを行ってください。
