検査対象となるWebアプリケーションがクラウド事業者が提供するWebサーバーにある場合、脆弱性検査に先立って、クラウド事業者に事前申請が必要となる場合があります。
以下に主要クラウド事業者のポリシーをまとめました。
なお、以下の情報は2017年6月30日現在の情報となります。
※2019年3月18日 AWSについての記述を変更しました。
※2018年10月24日 Alibaba Cloudを追記しました。
【Amazon Web Services】
侵入テスト - AWS クラウドセキュリティ | AWS
これより、AWS のお客様は、8 つのサービスを事前に承認することなく、AWS インフラストラクチャに対するセキュリティ評価または侵入テストを実施できるようになります。
AWSの場合、脆弱性テスト/侵入テストを行う場合は事前申請が不要になりました。ただし、いくつか注意事項の記載がございますので、AWSをご利用のお客様は上記ページの記載内容をご確認ください。
【Microsoft Azure】
Microsoft Cloud Unified Penetration Testing Rules of Engagement
As of June 15, 2017, Microsoft no longer requires pre-approval to conduct a penetration test against Azure resources.
2017年6月15日現在、マイクロソフトはAzureのリソースに対する侵入テストを実施するための事前承認を必要としません。
上記のように「侵入テスト(a penetration test)」については申請不要のようです。ただ、VAddyの検査は「侵入テスト(a penetration test)」というよりは「脆弱性検査(Vulnerability test / scanning)」の属するものなので、念のためご確認ください。
【Google Cloud Platform(GCP)】
Google Cloud Platform のセキュリティを評価するためにペネトレーション テストを行う際に、Google へ連絡する必要はありません。
Azure同様こちらも上記のような記載がありますが、VAddyはGCPのセキュリティを評価するためのテストではなく、GCP上で動いているWebアプリケーションの脆弱性を検査するものなので、こちらも念のためご確認ください。
【IDCFクラウド】
検査時のトラフィックが数百Mbpsを超えることが見込まれる場合を除き、原則として事前申請は不要です。VAddyの検査ではこれほどのトラフィックは発生しませんので、事前申請無しでVAddyでの脆弱性検査を走らせることができます。
【ニフティクラウド】
「利用規約の範囲内で実施いただければ問題ないため、申請は不要です。 」
との記述があり、利用規約第8条(禁止事項)2項には
「ユーザーは、本サービスに用いるニフティの設備(通信設備、通信回線、電子計算機、その他の機器及びソフトウエアをいいます。)に無権限でアクセスし、又はその利用若しくは運営に支障を与える行為(支障を与えるおそれのある行為を含みます。)をしないものとします。」
との記述があります。
VAddyを使った脆弱性検査で「ニフティの設備に支障を与える」ことは考えにくいので、こちらも事前申請は不要と考えられます。
【さくらクラウド】
負荷テストや脆弱性診断の実施に関しまして事前の連絡は不要で実施可能です。ただし、負荷テストや脆弱性診断などによって他のお客様への影響やサービス継続に支障があると判断された場合には、制限等を実施させていただく場合がございます。
ということで、こちらもVAddyを利用する際の事前申請は不要です。
脆弱性検査の実施についての規定が見つからなかったので、サポートに問い合わせたところ、以下のような回答をいただきました(即日回答!)。転載許可をいただいていますので、以下に転載させていただきます(2017年6月27日時点)
明確に規定はございません。脆弱性検査や負荷試験は、基本的に申請などは不要です。ただし、弊社が「外部からの攻撃」「異常な振る舞い」(主に負荷)と判断した場合、他のお客様を守ることを目的としてサービス提供に制限(通信制限や停止)することや、契約者様に確認をさせていただく可能性がございます。
ということで、こちらもVAddyを利用する際の事前申請は不要です。
【ConoHa】
ConoHaさんもサポートから以下のような回答をいただきました(2017年6月28日時点)。こちらもブログへの転載は快諾をいただいております。
お問い合わせの件につきまして、ConoHaにおきましては脆弱性診断における事前申請の必要はございません。
お客様のご任意で行っていただいて問題ございませんが、検査に起因して他のお客様への影響が懸念される負荷等が発生した場合はサービスの制限を実施させていただく可能性がございますこと、あらかじめご了承ください。
負荷等によりサービスの制限となる可能性もございますため、事前に弊社へお知らせいただくことで何か問題が発生した際の対応を円滑することは可能となります。
ということで、こちらもVAddyを利用する際の事前申請は不要です。
こちらの禁止事項の中に
本サービスや、当社が提供する資産への攻撃、セキュリティ機構の破壊行為、もしくは調査、施行。
との記載があります。サポートにも問い合わせましたが、残念ながらVAddyでの脆弱性検査は禁止とのことでした。
Alibaba Cloudさんはサポートから以下のような回答をいただきました(2018年10月23日時点)
こちらも転載許可をいただいておりますが、変更される場合がございます。
Alibaba Cloudでは、侵入テスト(SQLインジェクション、XSS等)の実施にあたり事前申請を頂いております。
侵入テストの申請方法につきましては、
アカウントをご登録後、Alibaba Cloudコンソールにログインいただき、
専用の申請ページよりご申請いただく形となります。
テストの対象は、アカウントが所有するリソースに対してのみとなっており、
侵入テスト申請はテスト対象リソースを所有するアカウントによって実施される必要がございます。
・侵入テストの申請 ※申請にあたりコンソールログインが必要となります。
例といたしまして、弊社、仮想サーバプロダクトであるECS上にWEBアプリを構築し、
脆弱性診断、侵入テストを実施したい場合、このECSに対して、コンソールの申請ページよりご実施いただくテスト内容踏まえ事前テスト申請をいただく流れとなります。
・Elastic Compute Service (ECS)