Microsoft Azure での侵入テスト (ペネトレーションテスト) について


※ 2017 年 7 月時点の情報です。予告なく変更される可能性があります。最新情報は、Submit Azure Service Penetration Testing Notification をご参照ください。

Web アプリケーションのリリースやインターネットに接続した環境の脆弱性診断のために、侵入テストを実施されることがあるかと思います。パブリッククラウド (Microsoft Azure など) に、アプリケーションを配置した際にも、侵入テストを実施したいというご要望があるかと思います。

Microsoft Azure では、侵入テストのルール事項 (Pentest Rules of Engagement )を順守頂き、侵入テストを実施頂く必要があります。例外的なルールは適用外です。

また、申請フォーム(Submit Azure Service Penetration Testing Notification )でのご申請は任意です。もし、申請する場合は以下をご参照ください。

 

<注意事項>

本申請は、プラットフォームのセキュリティ診断の無効化や有効化をするためや、セキュリティ検出を変更するための申請ではありません。

 

必要な情報

・ ご連絡先のメールアドレス

・サブスクリプション ID

・テスト実施日

・テストの詳細

・対象の全ての資産情報(IP や FQDN)

・実施予定のテスト種別

 

申請フォームでの問い合わせ対象外の内容

・侵入テストに関する質問や侵入テストの補助依頼

・脆弱性やポートスキャンの警告

・オンプレミスのリソースに対するテストの警告

・Azure サブスクリプション ID がない Azure Active Directory、Microsoft アカウント、 Office 365 やその他資産に対するテストの警告

 

申請フォーム

 

侵入テストの通知プロセス

  1. 侵入テストの申請フォーム送信完了
  2. Azure チームからの受付
    申請フォームの作成後、Azure  チームはその通知に対してご連絡いたします。もし追加情報が必要な場合は、Azure チームは申請フォームで提供された情報を利用してメールでご連絡いたします
  3. テスト完了
    Azure チームに受理されメールに特定された条件で、テストを実施します。テストの実行時間を延長や変更する場合、テスト内容を変更されない限りは再申請は不要です。

もし、Azure や他の Microsoft サービスに関連する潜在的なセキュリティの欠陥を見つけられた場合、手順 に沿って速やかにご報告ください。

侵入テストや通知の状態に関するその他ご質問は、サポートまでお問い合わせください。

もし、オンラインサービスバグ報奨金に該当すると思われる潜在的なセキュリティの欠陥を見つけられた場合、バグ報奨金規約をご参照ください。

**

Microsoft Azure サポートチーム

Comments (0)

Skip to main content