ペネトレーションテストに関するAWS, Google Cloud, Azureについての規約まとめ

リリース前のペネトレーションテストは、サービス障害や情報漏洩を防ぐ有効な手段です。
擬似攻撃にあたるため、各クラウドサービスでの実施には、それぞれの規約を守って実施する必要があります。
ペネトレーションテストについて、AWS, Google Cloud, Azureについての規約をまとめてみました。

AWS

https://aws.amazon.com/jp/security/penetration-testing/

以下のサービスに対しては事前申請なしに実施可能。それ以外はAWSサポートに連携。

Amazon EC2 インスタンス、WAF、NATゲートウェイ、Elastic Load Balancer
Amazon RDS
Amazon CloudFront
Amazon Aurora
Amazon API Gateway
AWS AppSync
AWS Lambda 関数および Lambda Edge 関数
Amazon Lightsail リソース
Amazon Elastic Beanstalk 環境
Amazon Elastic Container Service
AWS Fargate
Amazon Elasticsearch
Amazon FSx
Amazon Transit Gateway
S3 ホストアプリケーション (S3 バケットをターゲットにすることは厳に禁じられています)

以下については禁止。

Amazon Route 53 ホストゾーン経由の DNS ゾーンウォーキング
Route 53 経由の DNS ハイジャック
Route 53 経由の DNS ファーミング
サービス妨害 (DoS)、分散サービス妨害 (DDoS)、シミュレートされた DoS、シミュレートされた DDoS (これらは DDoS シミュレーションテストポリシーの対象です)
ポートフラッディング
プロトコルフラッディング
リクエストフラッディング (ログインリクエストフラッディング、API リクエストフラッディング)

DDoS以外のシミュレーションを実施する場合は、専用のフォームで申請が必要。

DDoSシミュレーションを実施する場合は、専用のフォームで申請が必要。

負荷テストについては、負荷テストポリシーを参照。

Google Cloud

https://cloud.google.com/terms/
https://cloud.google.com/terms/aup?sjid=8435584464271071471-NA
https://support.google.com/cloud/answer/6262505

とくに事前申請は求めていないが、以下については対象外。

ウイルスやワーム、トロイの木馬などの配布
スパムメール的なものの生成、配布

Azure

https://www.microsoft.com/en-us/msrc/pentest-rules-of-engagement

とくに事前申請は求めていないが、以下については対象外。

ScanningortestingassetsbelongingtoanyotherMicrosoftCloudcustomers.
Gainingaccesstoanydatathatisnotwhollyyourown.
Performinganykindofdenialofservicetesting.
PerformingnetworkintensivefuzzingagainstanyassetexceptyourAzureVirtualMachine
Performingautomatedtestingofservicesthatgeneratessignificantamountsoftraffic.
Deliberatelyaccessinganyothercustomer’sdata.
Movingbeyond“proofofconcept”reprostepsforinfrastructureexecutionissues(i.e.provingthat you have sysadmin access with SQLi is acceptable, running xp_cmdshell is not).
UsingourservicesinawaythatviolatestheAcceptableUsePolicy,assetforthintheMicrosoft Online Service Terms.
Attemptingphishingorothersocialengineeringattacksagainstouremployees.

まとめ

一見、AWSの規約がもっとも細かく厳しく見える反面、個人的には逆にクリアでわかりやすかったです。

2023/8/17現在のものです。規約は更新される可能性もあります。
また、許可されているものについても、専用の環境（AWSアカウントやGoogle Cloudプロジェクト）から実施されることをお勧めします。
意図しないところで規約違反を犯してしまいアカウント停止などになる可能性を鑑みたものです。
また、いずれのクラウドサービスでも、事前申請は「Not requiered」であって禁止ではないです。不安な場合は、クラウドベンダーやベンダーのパートナー企業に相談をしましょう。

この記事を書いた人

廣山豊

AWS および Google Cloud の運用、運用自動化のための開発、セキュリティを管轄しています。内部統制として、各種監査対応やインシデントハンドリングも行っています。そのため、運用やセキュリティ、開発など横断的な知識が強みです。 Google Cloud Partner Top Engineer - 2021 ~ Google Cloud Champion Innovator - 2022 ~ Japan APN AWS Ambassador - 2020, 2021 AWS Top Engineers - 2019 ~ 廣山豊が書いた記事

ペネトレーションテストに関するAWS, Google Cloud, Azureについての規約まとめ

AWS

Google Cloud

Azure

まとめ

Platform Engineering がなぜ脚光を浴びているのか？またその始め方を考えてみる

RHEL9にPHP8.3系をインストールする

X (旧 Twitter) を複数人で安全に運用する方法

RHEL7を8に, 8を9にインプレースアップグレードする

Google SpreadSheet: ハイパーリンクを一括抽出する

ペネトレーションテストに関するAWS, Google Cloud, Azureについての規約まとめ

AWS

Google Cloud

Azure

まとめ

関連記事Related Articles

CISSP meets Microsoftに行ってきた

【参加レポート】第29回 JAWS-UG札幌 勉強会

AWS re:Inforce 2023 参加レポート セッション編

各種SaaSのAPIアクセスログ入手方法

Black Hat & DEF CON 訪問 〜導入編

【参加レポート】第29回 JAWS-UG札幌勉強会

AWS re:Inforce 2023 参加レポートセッション編

Black Hat & DEF CON 訪問　〜導入編