AWSの環境に対して脆弱性診断を実施する際には、事前に「侵入テスト申請」が必要となります。
この申請フォームの内容が、2017年9月頃のアップデートの影響で大幅に変更されたのですが、日本語訳がなかったので翻訳してみました(2017年12月9日時点の情報です)。
AWSの脆弱性/侵入テストリクエストフォーム
AWS クラウド内の任意のリソースに起因する脆弱性および侵入テストの実施を許可するには、次の情報が必要です。要求側当事者は、セキュリティ評価ツールとサービスの使用に関する利用規約とAWS の方針に同意する必要があります。情報の受領と確認の後、テストプランを承認する承認メールが下記のアドレスに送信されます。テストは、要求側当事者がその承認を受け取るまで許可されません。アスタリスク(*)は、必要な情報を示します。
連絡先
このフォームにログインする際に使用した AWS アカウント所有者のメールアドレスと関連する名前を入力してください。このフォームにログインする際に使用されたアカウントの AWS アカウント ID 番号が、送信時に送信されます。別のアカウントのテストをリクエストしたい場合は、ログアウトして、テストするアカウントで再度ログインしてください。
顧客情報
- あなたの名前(*)
- 会社名(*)
- 電子メールアドレス
- 追加のメールアドレス
- 追加のメールアドレス
- 追加のメールアドレス
- あなたは AWS と NDA (秘密保持契約)を締結していますか?
ターゲットデータ
- AWS ターゲット
- EC2 Resources
- Cloudfront Distribution
- API Gateway
- Lambda
- RDS Resources
- ELB Name
- 非 AWS ターゲット
- IP アドレス
DNSZoneウォーキング
- ネームサーバのドメイン名とIPアドレス
- ターゲットにはアクティビティが通知されていますか?
- スキャンされた TLD(トップレベルドメイン)
ソースデータ
- IP アドレス
- 上記の IP アドレスはあなたのオフィスのものですか?
- 誰が IP アドレスを所有していますか?
- テストチームの電話連絡先
- テスト会社は AWS と NDA (秘密保持契約)を締結していますか?
テストの詳細
- 予想される帯域幅のピーク(Gbps)(*)
- 予想される1秒あたりのピーク要求数(RPS)(*)
- DNSゾーンウォーキングで予想されるピーク秒数(OPS)
- 開始日時(YYYY-MM-DDHHMM)(*)
- 終了日時(YYYY-MM-DDHHMM)(*)
- 追加のテストの詳細とこのテストが必要な理由
- このテストの成功を確実にするために、どのような基準を監視しますか?
- あなたが問題を発見した場合、すぐにトラフィックを停止する方法がありますか?
- 2つの緊急連絡先(電子メールと電話)を提供してください(*)
利用規約
侵入テスト(以下「テスト」)
(a)AWS の脆弱性/侵入テストリクエストフォームに指定されている送信元および宛先のIPアドレス、ネットワーク帯域幅、インスタンスレベルのリソース(CPU、メモリ、入出力など)、および上記で提供された電子メールアドレスに送信される承認メール。
(b)t2.nano、m1.small または t1.micro インスタンスは含まれません(AWS の Web サイト http://aws.amazon.com に記載されています)。
(c)AWS と当社(http://aws.amazon.com/agreement /で利用可能)(以下「本契約」)との間の Amazon Web Services 顧客契約の条件に従います。
(d)セキュリティ評価ツールおよびサービスの使用に関する AWS の方針(下記を含む)を遵守します。
なお、 AWS が情報を検証し、認証番号を含む要求側の当事者に認証メールを送信するまで、テストは承認されません。承認には最大 48 時間かかることがあります。
AWS の直接的な結果である脆弱性やその他の問題の発見は、テストが完了してから 24 時間以内にaws-security@amazon.comに伝達されなければなりません。テストの結果は、本契約第 9 条に基づく AWS 機密情報とみなされます。
- 利用規約に同意しますか?(*)
セキュリティ評価ツールおよびサービスの使用に関するAWSの方針
セキュリティ評価ツールおよびサービスの使用に関する AWS の方針は、 AWS 資産のセキュリティ評価を実行する際に大幅な柔軟性を提供し、他の AWS 顧客を保護し、 AWS 全体のサービス品質を保証します。
AWS は、 AWS 資産のセキュリティ評価を行うために選択できる公的、私的、商用、および/またはオープンソースのさまざまなツールとサービスがあることを理解しています。
「セキュリティ評価」という用語は、 AWS 資産間のセキュリティ管理の有効性または存在を判断する目的で従事するすべての活動を指します。(例えば、 AWS 資産間、 AWS 資産間、または仮想化内でローカルに実行される、ポートスキャン、脆弱性スキャン/チェック、侵入テスト、開発、 Web アプリケーションスキャン、注入、偽造、 資産そのもの。)
AWS 資産のセキュリティ評価を行うためのツールやサービスの選択に制限はありません。 ただし、サービス拒否( DoS )攻撃や、 AWS の資産、お客様または他のものに対するそのようなもののシミュレーションを実行する方法で、ツールまたはサービスを利用することは禁止されています。 禁止されている活動には、以下が含まれますが、これに限定されません。
- プロトコルフラッディング(例えば、 SYN フラッディング、 ICMP フラッディング、 UDP フラッディング)
- リソースリクエストフラッディング(例えば、 HTTP リクエストフラッディング、ログインリクエストフラッディング、 API リクエストフラッディング)
DoS に脆弱であることが知られているバージョンのリストと比較する目的で、バナーをつかむなど、 AWS 資産のリモートクエリを単独で実行してソフトウェア名とバージョンを判断するセキュリティツールは、このポリシーに違反していません。
さらに、セキュリティ評価の一環として、リモートまたはローカルの搾取のために必要に応じて、 AWS 資産の実行中のプロセスを一時的にクラッシュするセキュリティツールまたはサービスは、このポリシーに違反していません。 ただし、このツールは、前述のように、プロトコルのフラッディングやリソース要求のフラッディングに関与しない場合があります。
DoS 状態を作成、決定、または実際にまたはシミュレートされた他の方法で DoS 状態を示すセキュリティツールまたはサービスは、明示的に禁止されています。
一部のツールまたはサービスには、実際に DoS 機能が含まれています。不注意に使用された場合、またはツールまたはサービスの明示的なテスト/チェックまたは機能として、静かに/本質的に使用されます。このような DoS 機能を持つセキュリティツールまたはサービスは、その DoS 機能を無効にするか、無効にするか、そうでなければ HARMLESS を表示する明示的な能力を備えていなければなりません。さもなければ、そのツールまたはサービスは、セキュリティ評価のどの側面にも採用することはできません。
セキュリティ評価を実施するために使用されるツールとサービスが適切に構成され、 DoS 攻撃やそのようなシミュレーションを実行しない方法で正常に動作することを保証することは、 AWS のお客様の唯一の責任です。使用するツールまたはサービスが、 AWS 資産のセキュリティ評価に先立って、 DoS 攻撃またはそのシミュレーションを実行しないことを独立して検証するのは、 AWS のお客様の唯一の責任です。この AWS の顧客責任には、契約している第三者がこのポリシーに違反しない方法でセキュリティ評価を実施することが含まれます。
さらに、侵入テスト活動によって引き起こされた AWS または他の AWS 顧客に対する損害賠償責任はお客様にあります。
- セキュリティ評価ツールとサービスの利用に関する AWS の方針に同意しますか?(*)