Microsoft Azure での侵入テスト (ペネトレーションテスト) の申請について


Web アプリケーションのリリースやインターネットに接続した環境の脆弱性診断のために、侵入テストを実施されることがあるかと思います。パブリッククラウド (Microsoft Azure など) に、アプリケーションを配置した際にも、侵入テストを実施したいというご要望があるかと思います。Microsoft Azure では、侵入テストの際にお客様に事前に申請をいただくことをお願いしております。本トピックでは、侵入テストの申請方法についてご案内いたします。

※11月中旬に申請方法が変更になりました。以前の申請方法をご存知の方はご注意ください。

申請前の注意事項

  • 申請(非標準テストを含む)は最低1週間以上前にご申請をお願いいたします。1週間を過ぎる場合にはご希望に添えない場合があります。特に「非標準テスト」の場合には、弊社セキュリティ部門での厳密な審査が必要になるため早目の申請をお願いします。
  • 侵入テストの申請については、申請が通ることを保証するものではありません。申請が通らない場合もございますのでご了承ください。その場合、許可された診断のみを実施いただくことになります。
  • DoS 攻撃、もしくは DoS をシミュレートするようなテストは禁止されています。申請いただいても許可できませんのでご了承ください。

申請の種類

大きく分けて以下の2つのテストがあります。

「標準テスト」は主にアプリケーションレイヤーに対するテストですが、「標準テスト」に該当しないテストはすべて「非標準テスト」になります。こちらはすべてテスト内容を申請いただくことになりますので、あらかじめテスト内容の詳細の準備をお願いいたします。「標準テスト」および「非標準テスト」の両方を実施する場合には、両方とも内容を記述ください。

申請方法

※11月中旬に申請方法が変更になりました。以前の申請方法をご存知の方はご注意ください。

  1. 事前に以下の情報が必要になるため、ご準備をお願いします。申請の際には、すべて英語での記入が必要になります。
    1. アカウント管理者のメールアドレス
    2. 対象のサブスクリプションID
    3. 連絡窓口の方の名前、メールアドレス、電話番号 (国際電話 +81 形式)
    4. 別会社に委託の場合には、担当の方の名前、メールアドレス、電話番号 (国際電話 +81 形式)
    5. テストの開始日・終了日
    6. テストの詳細
    7. テストを実施する元の IP アドレスリスト
    8. 対象サービスの URL とテストの内容、具体的な利用するツール
  2. 事前に以下のページの内容を熟読し、侵入テストの申請条件をご確認ください。(英語になります)
    https://security-forms.azure.com/penetration-testing/terms 
  3. 記載の条件に同意いただけた際には、上記サイトの下部にある “Create a Testing Request” をクリックします。
  4. 申請書を記入します。(以下例をご参考に、すべて英語で記入ください)
    image
    • 複数のサービスに対してテストする場合には、[Add Resource]で項目追加して下さい。
    • 一度登録したサービスについては、[Remove] ボタンを押すと登録内容が削除できます。誤って増やしてしまった場合には [Remove] ボタンを押してください。
  5. [Submit Request] を押すと、リクエストが送付されます。セキュリティチームにより精査し問題がないと、Approved のメールが来ますので、それをもちまして申請終了です。Not Approved になった場合には、確認事項がメールに記載されていますので、修正事項を入れて再度リクエストください。
  6. “Approved” のメールが得られましたら、あとはテスト当日から作業を実施ください。

登録時の注意事項

  • ご利用いただくツールが複数のテスト機能を有する場合(特に、禁止されている DoS 攻撃のエミュレートを有する場合)、ツールの記述の際にどの機能範囲を利用するか記載ください。例:Nmap tool (only port scan, we don’t use DoS emulation)

**

Microsoft Azure サポートチーム

Comments (0)

Skip to main content