脆弱性レポート

クラウドサービスのあらゆる側面において、潜在的な脆弱性に対処する

アマゾン ウェブ サービスはセキュリティには真剣に向き合い、報告していただいた脆弱性に関しては、そのすべてを調査しています。このページでは、クラウドサービスのあらゆる側面における潜在的な脆弱性に対処する弊社の取り組みについてご説明します。

脆弱性の疑いの報告

  • アマゾン ウェブ サービス (AWS): AWS クラウドサービスまたはオープンソースプロジェクトに関する脆弱性を報告する場合、またはセキュリティ上の懸念がある場合は、aws-security@amazon.com まで E メールでご連絡ください。E メールを保護する場合、PGP キーを使用できます。
  • 侵入テストの AWS カスタマーサポートポリシー: これより、AWS のお客様は、一覧表示されているサービスを事前に承認することなく、AWS インフラストラクチャに対するセキュリティ評価または侵入テストを実施できるようになります。その他のシミュレートされたイベントの承認のリクエストは、シミュレートされたイベントフォームから送信する必要があります。中国 (寧夏および北京)の AWS リージョンで運用されているお客様の場合は、こちらのシミュレートされたイベントのフォームをご使用ください。
  • AWS の不正使用: AWS リソース (EC2 インスタンスや S3 バケット) が不審なアクティビティに使用されている疑いがある場合は、Amazon AWS の不正使用の報告フォームを使用するか、abuse@amazonaws.com に連絡して、AWS の不正使用チームまでご報告ください。
  • AWS コンプライアンス情報: AWS コンプライアンスレポートへのアクセスは、AWS Artifact からご利用いただけます。他にも AWS コンプライアンス関連の質問がございましたら、受け入れフォームからご連絡ください。
  • Amazon.com (リテール): Amazon.com リテール、Seller Central、Amazon Payments に関するセキュリティ面でのご懸念や、関連する問題 (不審な注文、無効なクレジットカード請求、不審な E メール、脆弱性レポート) については、小売業のためのセキュリティのウェブサイトをご参照ください。

お客様のレポートに効果的に対応させていただくため、脆弱性の性質や重大度を把握するための参考となりそうな資料 (実証コード、ツール出力など) も併せてお送りください。

このプロセスの一環としてお客様が AWS と共有する情報は、AWS 内で機密保持されます。AWS は、報告された脆弱性がサードパーティ製品に影響を与えることが判明した場合にのみ、この情報をサードパーティと共有いたします。その場合、この情報をサードパーティ製品の制作者または製造元と共有いたします。それ以外の場合、AWS はお客様が許可された場合に限って、この情報を共有いたします。

AWS はご提出いただいたレポートを確認し、追跡番号を付与します。その後、お客様へのご対応としてレポートの受理をお知らせし、プロセスの次のステップについて概要をお伝えします。

AWS による評価のための SLA

AWS は責任を持って対応し、報告されたセキュリティの懸念に関する調査の進捗や対処について常に最新状況をお知らせするように努めています。最初の連絡から 24 時間以内に、申請を受け取った脆弱性を非自動応答で連絡させていただきます。少なくとも米国の 5 営業日ごとに、最新の進捗状況をお伝えいたします。

公示

AWS で適切と判断した場合には、報告者と調整のうえ、検証した脆弱性を公示する手配をいたします。AWS では、各関係者による情報開示はできるかぎり同時に行うことが望ましいと考えております。

お客様の安全を確保するために、AWS では、調査が完了し、対応し、報告された脆弱性に対処し、必要に応じてお客様にご報告するまで、公開設定に関する潜在的な脆弱性に関する情報の投稿や共有を控えるようにお願いしています。また、お客様の保有するデータを投稿または共有しないようにお願い申し上げます。報告された有効な脆弱性への対処には時間がかかり、実際のタイムラインは脆弱性の重大度と影響を受けるシステムによって異なります。

AWS はセキュリティ情報の形式で公表を行い、AWS セキュリティウェブサイトに掲載いたします。個人や企業、セキュリティ担当チームがよくウェブサイトやフォーラムに各自の勧告を掲載しています。関連性がある場合は、このようなサードパーティのリソースへのリンクも AWS セキュリティ情報に含めています。 

セーフハーバー

AWS は、誠意を持って実施されたセキュリティ調査はセーフハーバーで提供されるべきであると考えています。当社は、以下の条件に従って、Disclose.io’s Core Terms を採用しています。AWS のお客様を保護するという熱意を共有するセキュリティ研究者と協力できることを期待しています。

範囲

以下の活動は、AWS 脆弱性レポートプログラムの範囲外です。以下の活動のいずれかを実施すると、プログラムから完全に失格となります。

  1. AWS のお客様または当社のインフラストラクチャでホストされている AWS 以外のサイトのアセットをターゲットにすること
  2. AWS のお客様または従業員のアカウントの侵害によって脆弱性を得ること
  3. AWS 製品または AWS のお客様に対するサービス拒否 (DoS) 攻撃
  4. AWS の従業員、オフィス、データセンターに対する物理的な攻撃
  5. AWS の従業員、請負業者、ベンダー、サービスプロバイダーに対するソーシャルエンジニアリング
  6. マルウェアを故意に投稿、送信、アップロード、リンク、送信すること
  7. 迷惑メッセージ (スパム) を送信することによる脆弱性の追跡

開示方針

レポートが送信されると、AWS は報告された脆弱性を検証します。問題の検証または再現のために追加の情報が必要な場合には、AWS はお客様と協力して取得します。初期調査が完了したら、その結果を解決に向けたプランおよび一般公開の検討と共にお送りします。

AWS プロセスに関する注意事項がいくつかあります。

  1. サードパーティー製品: 多くのベンダーに AWS クラウド内で製品を提供しただいております。サードパーティのサービスに影響する脆弱性の場合、AWS は影響を受けるテクノロジーの所有者に通知します。お客様とサードパーティの間の調整は、AWS が引き続き行います。お客様の身元は、お客様の許可がない限りサードパーティには明かされません。
  2. 非脆弱性の確認: 問題が検証不能な場合、または AWS 製品が原因でないことが判明した場合、その旨をご報告いただいたお客様にお知らせ致します。
  3. 脆弱性の分類: AWS は共通脆弱性評価システム (CVSS) バージョン 3.1 を使用して、潜在的な脆弱性の深刻度を評価します。評価値は問題の深刻度を定量化し、対応の優先順位付けを行うために使用します。CVSS の詳細については、NVD サイトを参照してください。
AWS 事業窓口へのお問い合わせ
ご質問がありますか? AWS のビジネス担当者と連絡を取る
セキュリティ関連の役職をお探しですか?
今すぐご登録ください »
AWS セキュリティの最新情報
Twitter でフォローしてください »