アマゾン ウェブ サービスはセキュリティに非常に重点をおいており、報告されたすべての脆弱性を調査しています。このページでは、当社のクラウドサービスから脆弱性を排除する取り組みについてご説明します。

  • Amazon.com リテール – Amazon.com リテール、Seller Central、Amazon Payments に関するセキュリティ面でのご懸念や、関連する問題 (不審な注文、無効なクレジットカード請求、不審な E メール、脆弱性レポート) については、https://amazon.com/security を参照してください。
  • アマゾン ウェブ サービス (AWS) – AWS クラウドサービス (EC2、S3、CloudFront、RDS など) に関する脆弱性を報告する場合、またはセキュリティ上の懸念がある場合は、E メールで aws-security@amazon.com にご連絡ください。E メールの機密を保護するために PGP もご利用いただけます。キーはこちらです。

AWS リソース (EC2 インスタンスや S3 バケット) が不審なアクティビティに使用されている疑いがある場合は、こちらから AWS 不正使用対策チームにご連絡ください。

効率的に対応させていただくために、参考となりそうな資料(実証コード、ツール出力など)も併せてお送りください。脆弱性の性質や重大度を把握するのに役立ちます。

このプロセスの一環としてお客様が AWS と共有する情報は、AWS 内で機密保持されます。お客様の許可なしにそれがサードパーティと共有されることはありません。

AWS は、ご提出いただいたレポートを確認し、追跡番号を付与します。その後、お客様へのご対応としてレポートの受理をお知らせし、プロセスの次のステップについて概要をお伝えします。

レポートが送信されると、AWS は報告された脆弱性を検証します。問題の検証または再現のために追加の情報が必要な場合は、それを取得するためにお客様にご協力いただくことになります。初期調査が完了したら、その結果を解決に向けたプランおよび一般公開情報と共にお送りします。

AWS 評価プロセスに関する注意事項がいくつかあります。

  • サードパーティ製品。AWS クラウドは多数のベンダーから製品の提供にご利用いただいております。サードパーティのサービスに影響する脆弱性の場合、AWS は影響を受けるソフトウェアの作成者に通知します。お客様とサードパーティの間の調整は、AWS が引き続き行います。お客様の身元は、お客様の許可がない限りサードパーティには明かされません。
  • 脆弱性がないことの確認。問題が検証不能な場合、または AWS 製品の欠陥でないことが判明した場合、その旨を報告者にお知らせ致します。
  • 脆弱性の分類。AWS は共通脆弱性評価システム (CVSS) バージョン 2.0 を使用して、潜在的な脆弱性の深刻度を評価します。評価値は問題の深刻度を定量化し、対応の優先順位付けを行うために使用します。CVSS の詳細については、CVSS-SIG 発表 を参照してください。

AWS は責任を持って対応し、報告されたセキュリティの懸念に関する調査の進捗や対処について常に最新状況をお知らせするように努めています。最初の連絡から 24 時間以内に、申請を受け取った脆弱性を非自動応答で連絡させていただきます。少なくとも 5 営業日ごとに、最新の進捗状況をお伝えします。

AWS で適切と判断した場合には、報告者と調整のうえ、検証された脆弱性を公表する手配をいたします。AWS では、各関係者による情報開示はできるかぎり同時に行うことが望ましいと考えております。

お客様の安全を確保するために、AWS では、調査が完了し、対応し、報告された脆弱性に対処し、必要に応じてお客様にご報告するまで、公開設定に関する潜在的な脆弱性に関する情報の投稿や共有を控えるようにお願いしています。また、お客様の保有するデータを投稿または共有しないようにお願い申し上げます。報告され検証された脆弱性への対処には時間がかかります。この時間は、脆弱性の緊急度および関係するシステムによって異なります。

AWS による公表はセキュリティ情報の形で、AWS セキュリティセンターに掲載されます。個人や企業、セキュリティ担当チームがよくウェブサイトやフォーラムに各自の勧告を掲載しています。関連性がある場合は、このようなサードパーティのリソースへのリンクも AWS セキュリティ情報に含めています。

 

お問い合わせ