AWSの侵入テスト申請フォームが変更された件

過去このブログでも取り上げてますが、AWSにおいて脆弱性診断を実施する際に、侵入テスト申請というものが必要となります。

ペネトレーションテスト(侵入テスト)- AWS セキュリティ|AWS

この侵入テスト申請について、実は2017年9月頃にアップデートがあり、申請フォームの内容が従来と変更されておりますので、こちらに変更点などをちょっとまとめておきます。 今後、侵入テストを申請される方の少しでもご参考になれば幸いです。

また、アカウントが無い方は申請フォームの中身を見ることができないので、キャプチャした現時点(2017年10月20日)の申請フォームの画像データもアップしておきます。

従来との変更点は?

従来との大きな変更点として、今まではEC2やRDSしか診断の対象とすることができなかったのですが、以下のマネージドサービスを正式に診断の対象とすることができるようになりました!

こちらにつきましては、診断を実施する側としても非常に大きな変更点だと思います。

CloudFront、APIゲートウェイ、Lambdaなどを利用して構築されているシステムなどには、個人的にも最近割と遭遇しており、今までは、公式にて診断対象とできないといわれていたので、どうやって診断などをしたものかなとちょっと悩んでいました。 また、原則としてはEC2やRDSしか診断できないはずだったのですが、知り合いの方などから「Lambdaを使っているんだけど申請したらなぜか通った」などのお話を聞いたことがあり、一体何がOKで、一体何がOUTなのか非常にグレーな感じだったので、ここら辺を明確化していただいたのは個人的には非常にありがたいです。

申請フォーム中のTarget Data、DNS Zone Walkingの項目がこの変更に対応してできた項目のようで、診断したいマネージドサービスごとに必要な内容を記載して申請できるようになっています。 ちなみに従来も診断可能だったELBも公式の診断対象として明記されており、ちゃんと専用の入力項目ができてますね。

その他、気になる変更点としてはTesting Detailsの所で、従来から入力が必要だったテスト時の帯域幅に追加して、秒間リクエスト数(RPS)の記入が必須となっております。 DNSを検査する場合には秒間問い合わせ数(QPS)なども申請しなくてはならないようです。

上記以外は、従来の申請とそこまで変わらない内容であると思います。

PS

ちなみにSource Dataの項目に 「Does the testing company have a NDS with AWS?」 と記載があり、初めはこの「NDS」について調べても良くわからなかったので謎だったのですが、知り合いの方よりどうやら「NDA」の記載ミスらしいというお話しを聞きましたw 一応私からもAWSに問い合わせておりますが、まだ正式なご回答いただいておりません。 ご回答があり次第こちらに追記しようかと思います。

(2017年10月21日追記)

AWSから以下のように丁寧なご回答をいただきました。

Thank you for contacting us. I sincerely apologize for the confusion, but this is an internal error on our side. We are aware of this error and will address it soon as possible. The request form should originally ask for an NDA (Non-Disclosure Agreement) rather than an NDS. This is, of course, not a requirement for the approval process.

誤記載ということが確定ですので、その内修正いただけるのだと思います。 このブログを公開してから、何人かの知り合いの方に「やっぱりみんなそれ問い合わせますよねーw」とかってご連絡をいただいたのがちょっと面白かったですw

申請フォームのキャプチャ

f:id:tigerszk:20171020124411p:plain

f:id:tigerszk:20171020124423p:plain

f:id:tigerszk:20171020124433p:plain

f:id:tigerszk:20171020124441p:plain

※2017年10月20日時点のものとなります。