現在、多くの企業がAWSを初めとしたクラウドサーバーを提供する事業者のWEBサーバーを借りてWEBサイトやECサイトを運営されています。以前、クラウドサーバーを借りている際に必要なセキュリティ対策として「AWS、他クラウドサーバー利用時に忘れてはいけない3つの脆弱性診断」という記事を公開させていただきました。

＊まだご覧になってない方は以下の記事から読まれることをお薦め致します。

AWS、他クラウドサーバー利用時に忘れてはいけない3つの脆弱性診断

今回はそのクラウドサーバーで脆弱性診断を実施する前に必要な事前申請について記載してまいります。

なぜ脆弱性診断の実施前に事前申請が必要か

結論から記載すると、サーバー事業者から不正アクセスと判断され正常な診断が行えない可能性があるからです。

診断内容にも寄りますが、脆弱性診断は疑似的な攻撃を実施してセキュリティホールである脆弱性の有無を判定する行為になります。サーバー事業者からはこの行為が許可されて行っているのか、不正アクセスなのかの判断は非常に難しく、不正アクセスと判断されアクセス元のIPがブラックリスト入りをしてしまうケースも発生するようです。

前述したようなトラブルを避けるためにも各サーバー事業者に事前に確認・申請を行っておく必要があります。サーバー事業者によっては利用規約に「事前申請は必要ない」と明記している場合もあります。以下に代表的なサーバー事業者の事前申請の必要性を抜粋して記載しておきますのでぜひ参考にしてください。

クラウドサーバー事業者6社の事前申請のご紹介

AWS（Amazon Web Services）

ペネトレーションテストの AWS カスタマーサポートポリシー

AWSは脆弱性診断／侵入テストの事前申請は不要です。しかし、実施の際にはAWSの定めるポリシーに沿った実施を求めてますので事前に上記ページのポリシーをご確認の上実施してください。

GCP(Google Cloud Platform）

クラウドのセキュリティに関するよくある質問

GCPはペネトレーションテストの事前申請は不要です。しかし、脆弱性診断については明確な記述がないので事前に確認をしていたほうが無難です。

IDCFクラウド (IDCF Frontier)

IDCFクラウド | サービス全般

IDCFは基本の事前申請は不要ですが、数百Mbps以上のトラフィック量が見込まれる場合は事前に申請が必要となる為、診断するツールのトラフィック量を事前に確認しておいた方がいいでしょう。

Microsoft Azure

Penetration Testing Rules of Engagement／ペネトレーションテストの実施規則

Microsoft Azureはペネトレーションテストについては事前申請は不要です。しかし、禁止事項に記載されている以下の文言がありますので脆弱性診断ツールを使用する場合は事前に確認したほうがよいでしょう。

>・Fuzz, port scan, or run vulnerability assessment tools against your own Azure Virtual Machines.

ニフクラ(NIFCLOUD)

ニフクラ FAQ（よくあるご質問）

ニフクラは脆弱性診断の事前申請についての記述がありませんでしたので念のため確認をする方が無難かと思います。ニフクラを始めGMOグループのサーバー事業者は脆弱性診断を実施する場合はグループ会社である「GMOイエラエ」をお薦めする可能性があります。「GMOイエラエ」さんは手動診断がベースとなっている脆弱性診断を提供されているので、自社の予算と合わせてご検討ください。

さくらのクラウド(SAKURA internet)

さくらのクラウド　よくある質問と回答

さくらのクラウドは脆弱性診断については事前申請不要と記載されております。

＊ABC順で記載

まとめ「クラウドサーバーの脆弱性診断は事前確認を実施する方が無難」

代表的な6社の規約をご紹介させていただきましたが如何でしたでしょうか。多くの会社が「基本的に事前申請は不要だが注意書きを守って実施して欲しい」との表記でした。この記事を書いたタイミング(2023年8月16日)時点から各社変更がある可能性もございますので、実施前には必ずサーバー会社に確認をして求められれば申請をするというのが正しい答えかもしれません。

secuas(セキュアズ)は2023年8月時点であらゆる環境にある500サイト以上を対象に診断した実績がございます。クラウドサーバーをご利用の業者様が脆弱性診断をご検討の際はぜひsecuas(セキュアズ)をお試しください。