VAddyブログ - 継続的セキュリティテストへの道 -

先日このようなブログ記事が公開されました。

クラウドサービスを脆弱性診断する時のお作法 

とある企業において脆弱性診断をされている「とある診断員」さんのブログで、クラウドサービス（IaaS）の利用者が脆弱性診断をする際の注意点がまとめられています。

この記事の中に

脆弱性診断を実施する際には、ご自身の利用しているプラットフォームの事業者にちゃんと確認をした方が良いと考えます。

という言及があります。

VAddyはサーバー上のWebアプリケーションに対する脆弱性診断（ブラックボックステスト）を行うサービスですので、これに当てはまります。

上記のブログ記事ではAWS、Microsoft Azure、Google Cloud Platformのポリシーをまとめていただいているので、便乗して日本国内のクラウド事業者のポリシーについてまとめてみました。

主要クラウド事業者の脆弱性診断に関するポリシー

【Amazon Web Services】
侵入テスト - AWS クラウドセキュリティ | AWS

AWSの場合、脆弱性テスト／侵入テストを行う場合は事前申請が必要になります。申請用の専用フォームが用意されていますので、VAddyで脆弱性診断を行う際はAWSに事前申請をお願いします。入力項目にそれほど難しい内容はありませんが、「Total Bandwidth (Please provide expected Gbps)*」など、どう記入して良いかわからない場合はご連絡ください。

【Microsoft Azure】

Microsoft Cloud Unified Penetration Testing Rules of Engagement

As of June 15, 2017, Microsoft no longer requires pre-approval to conduct a penetration test against Azure resources.

2017年6月15日現在、マイクロソフトはAzureのリソースに対する侵入テストを実施するための事前承認を必要としません。

上記のように「侵入テスト（a penetration test）」については申請不要のようです。ただ、VAddyの検査は「侵入テスト（a penetration test）」というよりは「脆弱性検査（Vulnerability test / scanning）」の属するものなので、念のため問い合わせ中です。

【Google Cloud Platform（GCP）】

Security and Compliance on the Google Cloud Platform  |  Google Cloud Platform

Google Cloud Platform のセキュリティを評価するためにペネトレーション テストを行う際に、Google へ連絡する必要はありません。

Azure同様こちらも上記のような記載がありますが、VAddyはGCPのセキュリティを評価するためのテストではなく、GCP上で動いているWebアプリケーションの脆弱性を検査するものなので、こちらも念のため問い合わせ中です。

【IDCFクラウド】

脆弱性検査や負荷試験を行えますか？

検査時のトラフィックが数百Mbpsを超えることが見込まれる場合を除き、原則として事前申請は不要です。VAddyの検査ではこれほどのトラフィックは発生しませんので、事前申請無しでVAddyでの脆弱性検査を走らせることができます。

【ニフティクラウド】

脆弱性スキャンを実施しますが、申請は必要でしょうか。

「利用規約の範囲内で実施いただければ問題ないため、申請は不要です。 」

との記述があり、利用規約第8条（禁止事項）2項には

「ユーザーは、本サービスに用いるニフティの設備（通信設備、通信回線、電子計算機、その他の機器及びソフトウエアをいいます。）に無権限でアクセスし、又はその利用若しくは運営に支障を与える行為（支障を与えるおそれのある行為を含みます。）をしないものとします。」

との記述があります。

VAddyを使った脆弱性検査で「ニフティの設備に支障を与える」ことは考えにくいので、こちらも事前申請は不要と考えられます。

【さくらクラウド】

負荷テストや脆弱性診断は可能ですか？

負荷テストや脆弱性診断の実施に関しまして事前の連絡は不要で実施可能です。ただし、負荷テストや脆弱性診断などによって他のお客様への影響やサービス継続に支障があると判断された場合には、制限等を実施させていただく場合がございます。

ということで、こちらもVAddyを利用する際の事前申請は不要です。

【IIJ GIOインフラストラクチャーP2】

脆弱性検査の実施についての規定が見つからなかったので、サポートに問い合わせたところ、以下のような回答をいただきました（即日回答！）。転載許可をいただいていますので、以下に転載させていただきます（2017年6月27日時点）

明確に規定はございません。脆弱性検査や負荷試験は、基本的に申請などは不要です。ただし、弊社が「外部からの攻撃」「異常な振る舞い」（主に負荷）と判断した場合、他のお客様を守ることを目的としてサービス提供に制限（通信制限や停止）することや、契約者様に確認をさせていただく可能性がございます。

ということで、こちらもVAddyを利用する際の事前申請は不要です。

【ConoHa】

ConoHaさんもサポートから以下のような回答をいただきました（2017年6月28日時点）。こちらもブログへの転載は快諾をいただいております。

お問い合わせの件につきまして、ConoHaにおきましては脆弱性診断における事前申請の必要はございません。

お客様のご任意で行っていただいて問題ございませんが、検査に起因して他のお客様への影響が懸念される負荷等が発生した場合はサービスの制限を実施させていただく可能性がございますこと、あらかじめご了承ください。

負荷等によりサービスの制限となる可能性もございますため、事前に弊社へお知らせいただくことで何か問題が発生した際の対応を円滑することは可能となります。

ということで、こちらもVAddyを利用する際の事前申請は不要です。

【クラウド・エヌ（Cloudn）】

重要事項に関する説明について

こちらの禁止事項の中に

本サービスや、当社が提供する資産への攻撃、セキュリティ機構の破壊行為、もしくは調査、施行。

との記載があります。サポートにも問い合わせましたが、残念ながらVAddyでの脆弱性検査は禁止とのことでした。

VAddyの検査時のトラフィックってどうなの？

先ほどVAddyの検査ではクラウド事業者に影響が出るようなトラフィックは発生しないと書きましたが、具体的にはどれくらいのトラフィックが想定されるのでしょうか。

VAddyの脆弱性検査において、検査リクエストを並列に送信することはありません。1つのサーバに対する検査リクエストの送信後、レスポンスの受信完了を待って次の検査に移ります。

検査の実行間隔はテスト対象サーバのレスポンス時間に大きく依存しますが、例えば対象のサーバーが秒間2リクエストを処理できるとして、検査リクエストとレスポンスが合計500KBの場合は、1MB/secのトラフィックが発生するという計算になります。

検査対象は基本的に画像ではなくhtmlやjsonファイルなどのため、実際に発生するトラフィックはもっと少ないものがほとんどです。

まとめ

このように、AWSを除いて国内外の主要クラウドサービスでVAddyによる脆弱性診断を行う際の事前申請は不要とのことでした。

全体的に感じたのは各事業者とも脆弱性診断を行った際の「トラフィック量」を気にされているようです（当たり前か）。

VAddyによる脆弱性検査ではそれほど大量のトラフィックは発生しませんので、ちょっと安心ですね。

上記の情報はアップデートされる可能性がありますので、ご利用の際は最新情報を確認されることをオススメします。

また、「うちのサービスが入っていない！」「ここのクラウド事業者についても調べて！」というリクエストがございましたら、ご連絡ください。

問い合わせに即レスいただいたクラウド事業者のサポート窓口の皆様、ご協力ありがとうございましたm(_ _)m