クラウド環境で稼動するサービスの脆弱性診断

クラウド環境で稼動するサービスへの脆弱性診断を行うための申請方法をAmazon Web Serviceを例に挙げて簡単に説明します。

近年、Amazon Web Service（以下AWSと表記）やMicrosoft Azure、Google Cloud Platformなどのクラウドサービスの普及により自社でプラットフォームを構築するのではなく、クラウド環境で提供されているプラットフォームを利用してWebサービスなどを提供している企業が増えています。しかし、クラウドサービスを利用していたとしてもサービス内容によっては利用者側がセキュリティ対策を行わなければなりません。例えば、AWSは責任共有モデルのため、プラットフォームやアプリケーションなどのセキュリティを担保する責任はAWSの利用者側にあります（責任共有モデル - アマゾン ウェブ サービス（AWS））。そのため、クラウドサービスを利用していたとしてもパッチの適用不備、アプリケーションの作りこみの不備などによって脆弱性が存在する可能性があり、弊社でもクラウド環境で構築されているサービスに対して脆弱性診断を実施しています。

脆弱性が存在する可能性があるなら脆弱性診断をしてみようと思うかもしれませんが、クラウド環境で提供しているサービスに対して脆弱性診断を行う上で注意しなければならないことがあります。それは、ペネトレーションテストなどの脆弱性診断はそのサービスに対して実際に攻撃が行われているのか、それともクラウドサービスの利用者がテストとして意図して行っているものなのかの区別が難しいため、無断で行うことを禁止している場合が多いためです（事業者側のポリシーによっては脆弱性診断自体が不可となっている場合もあります）。

例えば、AWSの「侵入テスト - AWS クラウドセキュリティ | AWS」には下記の記述がされています。

私たちの適正利用規約では、禁止されているセキュリティ違反やネットワーク不正使用をはじめ、AWSで許可されている行為と禁止されている行為について説明しています。ただし、侵入テストと他のシミュレートされたイベントはこれらの行為と区別できないことがよくあるため、AWS では AWS 環境への、または AWS 環境からの侵入テストと脆弱性スキャンを実施する許可をお客様がリクエストできるポリシーを確立しました。

読んでわかる通り、AWSに申請し、許可を得ることで脆弱性診断を実施することが可能です。しかし、脆弱性診断を行うことができるのはAWS利用者が所有するEC2とRDSのインスタンスのみで、AWSの他サービスやAWSで所有しているリソースに対する脆弱性診断は禁止されています。また、スモールRDSインスタンスやマイクロRDSインスタンスに対する脆弱性診断も許可されていないのでご注意ください。

• ※万が一、許可申請をせずに脆弱性診断を実施すると最悪の場合、サービスの利用停止やAmazonのサービスに悪影響を与えた場合は賠償責任を問われる可能性があります。

AWSへの脆弱性診断の許可申請方法

AWS 脆弱性 / 侵入テストリクエストフォームへアクセスして、下記フォームに情報を入力し、利用規約やポリシーに同意した後、送信することにより許可申請を行うことが可能です。

• ※この申請は弊社などの診断業者では行えないので、AWSの利用者が行う必要があります。

Contact Information：連絡先情報

Scan Information：脆弱性診断に関する情報

注意事項

• 許可申請はrootアカウントで実施しなければならない
• 全ての入力フォームを英語で入力しなければならない
• 「Instances IDs」には『m1.small』や『t1.micro』は指定不可
• 申請可能な診断期間は3ヶ月まで
• 手続きに数営業日かかる可能性があるため、余裕を持って申請する必要がある
• 期間の延長などの可能性もあるので脆弱性診断の終了日時は余裕を持って記載した方が良い

長々と書いてしまいましたが、クラウド環境で稼動するサービスに対して脆弱性診断を実施したいときに参考にしていただければ幸いです。

ちなみに・・・

最近の自転車事情は群馬長野県境（十石峠）に行きました。