AWSへのペネトレーションテストの申請方法 〜Amazon EC2、Amazon RDSへの侵入テスト・脆弱性テスト・Webアプリケーション診断を行う際に必要な手続き〜
AWSのサービスに対して侵入テスト・脆弱性テスト・Webアプリケーション診断を行う場合には下記のAWS公式の侵入テストのページに記載されているように、必ずテストの申請をし許可を得る必要があります。
侵入テスト – AWS セキュリティセンター | アマゾン ウェブ サービス(AWS 日本語)
また、侵入テスト・脆弱性テスト・Webアプリケーション診断を行う事ができるAWSサービスはEC2とRDSのインスタンスのみとなる点に注意が必要です。
今回はAWSへのペネトレーションテストの申請方法について備忘録を記載したいと思います。
AWSへのペネトレーションテストの申請方法
AWS Vulnerability / Penetration Testing Request Form(AWS脆弱性/侵入テストリクエストフォーム)の記入項目
Contact Information
- Your Name*(必須項目)
- Your Company Name
- Your Email Address*(必須項目)
- Additional email addresses to CC on correspondence
- Third Party Contact Information
入力内容:アカウント名
(例) magtranetwork
入力内容:会社名
(例) Magtranetwork, Ltd.
入力内容:AWSアカウント(rootアカウント)のメールアドレス
(例) magtranetwork@magtranetwork.com
入力内容:CCにて追加で連絡を受け取るメールアドレス
(例) magtranetwork@magtranetwork.com
入力内容:侵入テスト・脆弱性テストを第三者の会社に委託する場合に記入する第三者の連絡先
(例)
Magtranetwork, Ltd.
Tel: 01-2345-6789
Email: magtranetwork@magtranetwork.com
Scan Information
- IP Addresses to be scanned (Destination)*(必須項目)
- Are the instances the source of the scan or the target of the scan?*(必須項目)
- Instances IDs*(必須項目)
- Scanning IP addresses (Source)*(必須項目)
- What region are these instances in?*(必須項目)
- Timezone*(必須項目)
- Start Date and Time (YYYY-MM-DD HH:MM)*(必須項目)
- End Date and Time (YYYY-MM-DD HH:MM)*(必須項目)
- Additional Comments
入力内容:侵入テスト・脆弱性テストのスキャン対象になるIPアドレス
(例) 52.0.0.0
入力内容:インスタンスがスキャンを行う元のインスタンス(Source)なのかスキャンをされる対象のインスタンス(Target)なのかSourceまたはTargetを選択。
(例) Target
入力内容:侵入テスト・脆弱性テストのスキャン対象になるインスタンスのID。
EC2インスタンスタイプ、RDSインスタンスともにインスタンスタイプのmicro、smallはテストが許可されていないため、それ以上のインスタンスタイプにした上で申請する必要があります。
(例) i-4153c6e4
入力内容:侵入テスト・脆弱性テストのスキャン元となるIPアドレス
(例)
52.0.0.1
52.0.1.0/24
入力内容:侵入テスト・脆弱性テストで使用するインスタンスがどのリージョンに存在するかの選択。
(例) Asia Pacific(Tokyo)
入力内容:下記で入力する侵入テスト・脆弱性テストの開始日、終了日で使用するタイムゾーンを選択。
(例) GMT+9
入力内容:侵入テスト・脆弱性テストの開始日時をYYYY-MM-DD HH:MMの形式で入力。
(例) 2015-11-20 00:00
入力内容:侵入テスト・脆弱性テストの終了日時をYYYY-MM-DD HH:MMの形式で入力。終了日時は開始日時から90日以内にする必要があります。
(例) 2015-11-30 23:59
入力内容:侵入テスト・脆弱性テストに関して追加コメント、特記事項があれば入力。
(例) The main purpose of this penetration testing is to check a web server’s security weaknesses.