脆弱性レポート

クラウドサービスのあらゆる側面において、潜在的な脆弱性に対処する

アマゾン ウェブ サービスはセキュリティには真剣に向き合い、報告していただいた脆弱性に関しては、そのすべてを調査しています。このページでは、クラウドサービスのあらゆる側面における潜在的な脆弱性に対処する弊社の取り組みについてご説明します。

脆弱性の疑いの報告

  • Amazon.com (リテール): Amazon.com リテール、Seller Central、Amazon Payments に関するセキュリティ面でのご懸念や、関連する問題 (不審な注文、無効なクレジットカード請求、不審な E メール、脆弱性レポート) については、小売業のためのセキュリティのウェブサイトをご参照ください。
  • アマゾン ウェブ サービス (AWS): AWS クラウドサービスに関する脆弱性を報告する場合、またはセキュリティ上の懸念がある場合は、aws-security@amazon.com まで E メールでご連絡ください。E メールを保護する場合、PGP キーを使用できます。

AWS リソース (EC2 インスタンスや S3 バケット) が不審なアクティビティに使用されている疑いがある場合は、AWS 不正使用対策チームにご連絡ください。

お客様のレポートに効果的に対応させていただくため、脆弱性の性質や重大度を把握するための参考となりそうな資料 (実証コード、ツール出力など) も併せてお送りください。

このプロセスの一環としてお客様が AWS と共有する情報は、AWS 内で機密保持されます。お客様の許可なしに、情報がサードパーティと共有されることはありません。

AWS はご提出いただいたレポートを確認し、追跡番号を付与します。その後、お客様へのご対応としてレポートの受理をお知らせし、プロセスの次のステップについて概要をお伝えします。

AWS による評価

レポートが送信されると、AWS は報告された脆弱性を検証します。問題の検証または再現のために追加の情報が必要な場合には、お客様にご協力いただくことになります。初期調査が完了したら、その結果を解決に向けたプランおよび一般公開情報と共にお送りします。

AWS 評価プロセスに関する注意事項がいくつかあります。

  • サードパーティー製品: 多くのベンダーに AWS クラウド内で製品を提供しただいております。サードパーティのサービスに影響する脆弱性の場合、AWS は影響を受けるソフトウェアの作成者に通知します。お客様とサードパーティの間の調整は、AWS が引き続き行います。お客様の身元は、お客様の許可がない限りサードパーティには明かされません。
  • 非脆弱性の確認: 問題が検証不能な場合、または AWS 製品の欠陥でないことが判明した場合、その旨をご報告いただいたお客様にお知らせ致します。
  • 脆弱性の分類: AWS は共通脆弱性評価システム (CVSS) バージョン 2.0 を使用して、潜在的な脆弱性の深刻度を評価します。評価値は問題の深刻度を定量化し、対応の優先順位付けを行うために使用します。CVSS の詳細については、CVSS-SIG のお知らせをご覧ください。

AWS は責任を持って対応し、報告されたセキュリティの懸念に関する調査の進捗や対処について常に最新状況をお知らせするように努めています。最初の連絡から 24 時間以内に、申請を受け取った脆弱性を非自動応答で連絡させていただきます。少なくとも 5 営業日ごとに、最新の進捗状況をお伝えします。

公示

AWS で適切と判断した場合には、報告者と調整のうえ、検証した脆弱性を公示する手配をいたします。AWS では、各関係者による情報開示はできるかぎり同時に行うことが望ましいと考えております。

お客様の安全を確保するために、AWS では、調査が完了し、対応し、報告された脆弱性に対処し、必要に応じてお客様にご報告するまで、公開設定に関する潜在的な脆弱性に関する情報の投稿や共有を控えるようにお願いしています。また、お客様の保有するデータを投稿または共有しないようにお願い申し上げます。報告され検証された脆弱性への対処には時間がかかります。この時間は、脆弱性の緊急度および関係するシステムによって異なります。

AWS による公表はセキュリティ情報の形で、AWS セキュリティセンターに掲載されます。個人や企業、セキュリティ担当チームがよくウェブサイトやフォーラムに各自の勧告を掲載しています。関連性がある場合は、このようなサードパーティのリソースへのリンクも AWS セキュリティ情報に含めています。

AWS 事業窓口へのお問い合わせ
ご質問がありますか? AWS のビジネス担当者と連絡を取る
セキュリティ関連の役職をお探しですか?
今すぐご登録ください »
AWS セキュリティの最新情報
Twitter でフォローしてください »