先日twitterを見ていたら、こんなつぶやきを拝見して、個人的に侵入テスト申請には色々思い入れのある身であるため、ビックリした「とある診断員」です。

あれ？AWSの侵入テスト申請いらなくなりました？ pic.twitter.com/Z6ULU10SMy

— 三ツ矢 ◎=3 (@328__) March 1, 2019

このブログでもとりあげましたが、今までAWSはペネトレーションテストや脆弱性診断などを実施する際に、AWS側への事前の申請が必要だったのですが、今回ポリシーの変更があったらしくどうやら不要になったようです。 ということで、私も自分で確認をしてみました。

Penetration Testing - Amazon Web Services (AWS)

現在日本語版サイトは、翻訳が間に合ってないようでまだ更新されてないようですが（2019/3/5確認）、英語版の方は記載内容がガラリと変わっています。

Effective immediately, AWS customers are welcome to carry out security assessments or penetration tests against their AWS infrastructure without prior approval for 8 services.

思いっきり、事前の承認なしに、テストやっていいよと書いてますね。 ちなみに日本語版のサイトの申請フォームはまだ起動しており、試しに申請してみた所AWSからちゃんと事前申請が不要になった旨の連絡がきました。 ポリシーの中身を見てみるとテストを許可されているサービスの一覧についても若干変わっているようです。

o Amazon EC2 instances, NAT Gateways, and Elastic Load Balancers
o Amazon RDS
o Amazon CloudFront
o Amazon Aurora
o Amazon API Gateways
o AWS Lambda and Lambda Edge functions
o Amazon Lightsail resources
o Amazon Elastic Beanstalk environments

明示されていないけど、個人的にも今まで申請したら通っていた経験のあるElastic Beanstalkなどが新たに追加されていますね。また、「 We're constantly updating this list」と記載しているので、今後も対象範囲が大きくなる可能性もありそうですね。

またTips for Security Testingの項目に

Testing IP Addresses – Because of the dynamic nature of a cloud environment, all IP addresses should be verified prior to the beginning of a test to ensure current ownership of the IP address.

とちゃんと書いてくれているところに個人的には好感が持てました。AWSをテストするときにこれはメッチャ重要ですね。

以前このブログでもとりあげたセキュリティ的なイベントでAWSを利用する際の申請がOther Simulated Eventsの項目になりますが、こちらについては引き続き事前申請が必要のようです。

競合するGCPやAzureは事前申請不要のスタイルをとっているため、その内AWSも不要にするのかなとは思っていましたが、今回めでたく事前申請は不要となったようです。 ということで、診断を実施する側、受ける側としても事前調整の手間が一つ減るため、個人的には歓迎すべき変更だと思っています。