AWSへのペネトレーションテストの申請方法 〜Amazon EC2、Amazon RDSへの侵入テスト・脆弱性テスト・Webアプリケーション診断を行う際に必要な手続き〜

2月 6, 2017AWS,EC2,RDS

AWSのサービスに対して侵入テスト・脆弱性テスト・Webアプリケーション診断を行う場合には下記のAWS公式の侵入テストのページに記載されているように、必ずテストの申請をし許可を得る必要があります。

侵入テスト – AWS セキュリティセンター | アマゾン ウェブ サービス(AWS 日本語)

また、侵入テスト・脆弱性テスト・Webアプリケーション診断を行う事ができるAWSサービスはEC2とRDSのインスタンスのみとなる点に注意が必要です。
今回はAWSへのペネトレーションテストの申請方法について備忘録を記載したいと思います。

AWSへのペネトレーションテストの申請方法

AWS Vulnerability / Penetration Testing Request Form(AWS脆弱性/侵入テストリクエストフォーム)の記入項目

Contact Information

  • Your Name*(必須項目)
  • 入力内容:アカウント名
    (例) mag4j

  • Your Company Name
  • 入力内容:会社名
    (例) Magtranetwork, Ltd.

  • Your Email Address*(必須項目)
  • 入力内容:AWSアカウント(rootアカウント)のメールアドレス
    (例) mag4j@mag4j.com

  • Additional email addresses to CC on correspondence
  • 入力内容:CCにて追加で連絡を受け取るメールアドレス
    (例) mag4j@mag4j.com

  • Third Party Contact Information
  • 入力内容:侵入テスト・脆弱性テストを第三者の会社に委託する場合に記入する第三者の連絡先
    (例)
    Magtranetwork, Ltd.
    Tel: 01-2345-6789
    Email: mag4j@mag4j.com

Scan Information

  • IP Addresses to be scanned (Destination)*(必須項目)
  • 入力内容:侵入テスト・脆弱性テストのスキャン対象になるIPアドレス
    (例) 52.0.0.0

  • Are the instances the source of the scan or the target of the scan?*(必須項目)
  • 入力内容:インスタンスがスキャンを行う元のインスタンス(Source)なのかスキャンをされる対象のインスタンス(Target)なのかSourceまたはTargetを選択。
    (例) Target

  • Instances IDs*(必須項目)
  • 入力内容:侵入テスト・脆弱性テストのスキャン対象になるインスタンスのID。
    EC2インスタンスタイプ、RDSインスタンスともにインスタンスタイプのmicro、smallはテストが許可されていないため、それ以上のインスタンスタイプにした上で申請する必要があります。
    (例) i-4153c6e4

  • Scanning IP addresses (Source)*(必須項目)
  • 入力内容:侵入テスト・脆弱性テストのスキャン元となるIPアドレス
    (例)
    52.0.0.1
    52.0.1.0/24

  • What region are these instances in?*(必須項目)
  • 入力内容:侵入テスト・脆弱性テストで使用するインスタンスがどのリージョンに存在するかの選択。
    (例) Asia Pacific(Tokyo)

  • Timezone*(必須項目)
  • 入力内容:下記で入力する侵入テスト・脆弱性テストの開始日、終了日で使用するタイムゾーンを選択。
    (例) GMT+9

  • Start Date and Time (YYYY-MM-DD HH:MM)*(必須項目)
  • 入力内容:侵入テスト・脆弱性テストの開始日時をYYYY-MM-DD HH:MMの形式で入力。
    (例) 2015-11-20 00:00

  • End Date and Time (YYYY-MM-DD HH:MM)*(必須項目)
  • 入力内容:侵入テスト・脆弱性テストの終了日時をYYYY-MM-DD HH:MMの形式で入力。終了日時は開始日時から90日以内にする必要があります。
    (例) 2015-11-30 23:59

  • Additional Comments
  • 入力内容:侵入テスト・脆弱性テストに関して追加コメント、特記事項があれば入力。
    (例) The main purpose of this penetration testing is to check a web server’s security weaknesses.

Reference: Tech Blog citing related sources

AWS,EC2,RDS

Posted by mag4j