Oracle Cloud Infrastructureドキュメント

Oracle Cloudセキュリティ・テスト

この項では、Oracle Cloud Security Testingポリシーと、Oracle Cloudサービスのテストをスケジュールするためにリクエストを発行する方法について説明します。

トピック:

Oracle Cloudセキュリティ・テスト・ポリシー

このポリシーは、Oracle Cloud Servicesの特定のタイプのセキュリティ・テスト(脆弱性および侵入テストを含む)およびデータ・スクレーピング・ツールを含むテストを、いつ、どのように実施するかを概説します。 それとは対照的に、Oracle Cloud Servicesのテストは、ファイル・サービス・メンテナンス・リクエストに必要な権限のあるOracle Accountを持ち、そのようなテストの対象となる環境にサインインしているユーザーによってのみ実施できます。

侵入および脆弱性のテスト

Oracleは、Oracleクラウド・インフラストラクチャ、プラットフォーム、およびアプリケーションに対して、侵入および脆弱性テストとセキュリティ評価を定期的に実行します。 これらのテストは、Oracle Cloud Servicesの全体的なセキュリティを検証および改善することを目的としています。

ただし、Oracleは、Oracle Cloud Services (「顧客コンポーネント」)を介して管理される、またはOracle Cloud Servicesに導入されるコンポーネント(Oracle以外のアプリケーション、Oracle以外のデータベース、その他のOracle以外のソフトウェア、コードまたはデータなど)を - お客様の開発または作成のイントロダクションを含む - 評価またはテストしません。 このポリシーは、顧客コンポーネントに含まれるサード・パーティ資材のテストを行うための対処や用意を行いません。

Oracle Cloud Services契約で許可または制限されている場合を除き、Oracle Cloud Services契約のシステム・レベルのアクセス権を持つサービス管理者は、Oracle Cloud Servicesの特定の規則と制限に従って、Oracle Cloud Servicesに含まれている顧客コンポーネントに対して侵入および脆弱性テストを実行する可能性があります。

許可されたクラウド侵入および脆弱性テスト

次に、顧客コンポーネントの侵入および脆弱性テストが許可される場所について説明します:

  • IaaS: 独自のモニタリング・ツールやテスト・ツールを使用して、単一テナントのOracle Infrastructure as a Service (IaaS)オファリングの侵入と脆弱性テストを実施できます。 下記のプロセス・セットに従った侵入や脆弱性テストを実施する前に、Oracleに通知する必要があります。 このような侵入および脆弱性テストには、顧客コンポーネントのセキュリティを評価することができます。ただし、Oracleまたはそのエージェントと相談したり管理したりする施設、ハードウェア、ソフトウェア、ネットワークなど、Oracle Cloud Servicesの他の側面やコンポーネントは評価されません。

  • PaaS: 独自のモニタリング・ツールやテスト・ツールを使用して、単一テナントのPaaSオファリングの侵入および脆弱性テストを実施できます。 下記のプロセス・セットに従った侵入や脆弱性テストを実施する前に、Oracleに通知する必要があります。 このような侵入および脆弱性テストには、顧客コンポーネントのセキュリティを評価できます。ただし、Oracleが所有または管理する施設、ハードウェア、ネットワーク、アプリケーション、およびソフトウェア、エージェントとライセンスを含む、Oracle Cloud Servicesの他の側面やコンポーネントは評価されません。 クリアするために、PaaSサービスの上にインストールされているOracleアプリケーションを評価しないことがあります。

  • SaaS: Oracle Software as a Service (SaaS)のサービスでは、侵入および脆弱性のテストは許可されません。

エンゲージメントのルール

クラウド侵入および脆弱性テストには、次のようなエンゲージメントのルールが適用されます:

  • テストでは、他のサブスクリプション、その他のOracle Cloud顧客リソース、または共有インフラストラクチャ・コンポーネントのターゲットを指定しないでください。

  • 帯域幅割当て制限や、サブスクリプション用の他のサブスクライブされたリソースを超えるテストは実行しないでください。

  • 厳格に禁止されているのは、Denial-of-Service (DoS)攻撃やサービスのシミュレーションを実行する方法、またはyoursを含むすべてのOracle Cloudアセットに対する負荷テストを実行する方法です。

  • チャネルのスキャンは、非アグレッシブ・モードで実行する必要があります。

  • 侵入および脆弱性テスト中に雇用されたツールやサービスによって、DoS攻撃や、インスタンス評価前のシミュレーションが行われないことを独立して検証する責任があります。 この責任には、契約された第三者がこのポリシーに違反しない方法で査定を実行することを保証することが含まれます。

  • Oracle従業員のソーシャル・エンジニアリング、およびOracle施設の物理的侵入および脆弱性テストは禁止されています。

  • 別の顧客の環境またはデータへのアクセス、あるいはコンテナ(たとえば仮想マシン)からの分離は決して試行しないでください。

  • 引き続きテストは、Oracle Cloud Servicesを購入した契約の条件に従うものとします。このポリシーでは、そのようなクラウド・サービスに関する追加の権利や権限が付与されるとみなされます。

  • Oracle Cloudに関連する潜在的なセキュリティの問題が発見されたと思われる場合は、関連する情報をMy Oracle Supportに伝えることで、24時間以内にOracleにレポートする必要があります。 24時間内にサービス・リクエストを作成し、この情報を公開しないか、サードパーティに開示しないでください。 検出される可能性がある脆弱性や問題は、インスタンスに最新のパッチを適用することによって、解決されることがあります。

  • 別のカスタマのデータに不注意にアクセスした場合は、すべてのテストを即座に終了し、関連情報をMy Oracle Supportに伝えて、1時間以内にOracleにレポートする必要があります。

  • ユーザーは、これらの契約ルールに従わないことによって、テスト・アクティビティが原因である、Oracle Cloudまたはその他のOracle Cloudの顧客に損害が発生しても責任を負います。

通知プロセス

Oracleに、このポリシーの必要に応じた侵入または脆弱性テストを実施するように選択を通知するプロセスは、「クラウド・セキュリティ・テスト通知の発行」に記載されています。

データ・スクレーピング・ツール

Oracleユーザー・インタフェースまたはwebサービス・コールを介して使用可能なデータを収集するためにOracle Cloud Servicesを使用するデータ・スクレーピング・ツールまたはテクノロジを使用する場合は、Oracleの書面によるアクセス権が必要です。 Oracleは、本番で使用する前に、提案されたデータのスクレーピング・ツールがOracleによって検証およびテストされる必要がある権限を予約しています。その後、本番で再検証およびテストされ、年ごとにテストされます。

クラウド・セキュリティ・テスト通知の発行

サービス管理者は、Oracle Cloudの一部のサービスに対してテストを実行できます。 テストを実行する前に、まず「侵入および脆弱性のテスト」を確認する必要があります。 下記のステップに従って、侵入および脆弱性テストをOracleに通知します。

注意:

サービス・メンテナンス・リクエストを登録するために必要な権限を持つOracle Accountが必要です。また、侵入および脆弱性テストの対象となる環境にサインインする必要があります。

  1. My Servicesにログインします。
  2. ダッシュボードのサービス・タイルで、「アクション」メニューをクリックし、「メンテナンスおよびサービス・リクエスト」を選択します。
  3. 「サービス・リクエストの詳細」ページで、「リクエスト・タイプ」リストから「侵入&脆弱性テスト」を選択します。
  4. 情報を確認し、条件に同意して、「次」をクリックします。

    利用できるタイム・スロットは、"侵入および脆弱性のテスト"というテキストで識別されます。

    カレンダの最上部にある各ボタンを使用して、表示を毎日、毎週、毎月またはリストに切り替えることができます。 選択したビューはプリファレンスとして保存され、次回ログインしたときも同様に表示されます。

  5. 特定の日付で「侵入および脆弱性のテスト」をクリックして、使用可能なスロットを選択します。

    1. 技術連絡担当者の詳細を入力します。 サード・パーティをテストに使用する場合は、サード・パーティの名前およびEメール・アドレスを指定します。
    2. テスト期間、目的、IPアドレス、サービスおよびその他の情報などのテストの詳細を指定します。 必須フィールドには、アスタリスク(*)が付いています。
    3. リクエストの送信をクリックします。

サービス・メンテナンス・リクエストが作成され、自動的に承認されます。 場合によっては、メンテナンスのタイム・スロットを確認するために承認が必要になることがあります。 そのようなリクエストは、To Reviewというフレーズで示されます。 ファイルされた各サービス・メンテナンス・リクエストのステータスは色分けされ、カレンダに表示されます。 サービス・メンテナンス・リクエストを表示、編集または取り消すには、「サービス・メンテナンス・リクエストの表示と編集」を参照してください。

詳細は、「クラウド・セキュリティ・テストに関するよくある質問」を参照してください。 まだ質問がある場合は、Cloud-CPVT_US_GRP@ oracle.comに問い合わせてください。

クラウド・セキュリティ・テストに関するよくある質問

このセクションには、クラウド・セキュリティ・テストに関連するよくある質問(FAQ)への回答が表示されます。

「顧客コンポーネント」のクラウド侵入および脆弱性テストを実施する方法を完全に理解するには、最初に「侵入および脆弱性のテスト」を確認する必要があります。

トピック:

「侵入および脆弱性テストすべてにOracleアクセス権が必要ですか。」

いいえ。Oracle侵入および脆弱性テスト・ポリシーごとに、特定のOracle Cloudサービスに含まれる顧客コンポーネントの侵入および脆弱性テストを実施するためのOracleの権限は必要ありません。 しかし、侵入および脆弱性テストを開始する前に、Oracleに通知する必要があります。 Oracle Software as a Service (SaaS)オファリングの侵入および脆弱性テストは実施できません。

「侵入および脆弱性テストについてOracleに通知するにはどうすればいいですか?」

Oracleに通知するには、テストするインスタンスに関連付けられた管理者の資格証明を使用してMy Servicesにログインする必要があります。 テストするインスタンス、テストの計画開始日と終了日、および使用するテスト・ツールについての情報を含むフォームを完了して送信する必要があります。 この通知プロセスの詳細は、「侵入および脆弱性のテスト」を参照してください。

「どのインスタンスをテストできますか。」

Oracle侵入および脆弱性テスト・ポリシーでは、顧客コンポーネントであるインスタンス、サービスおよびアプリケーションのテストのみが許可されます。 Oracle Cloud Servicesのほかのすべての側面およびコンポーネント(Oracle管理ファシリティ、ハードウェア・コンポーネント、ネットワーク、ソフトウェア、データベース・インスタンスを含む)はテストできません。 Oracle Software as a Service (SaaS)オファリングの侵入や脆弱性テストは実施できません。 また、Oracle従業員のソーシャル・エンジニアリング、Oracle施設への物理的侵入および脆弱性テストを実施できません。

「テストを実行する権限を受けた後、自分の部品に対する他のアクションは何ですか。」

テストを実行する前に他のアクションは必要ありません。 リクエストした期間テストを実施できます。

「Oracle Cloudに関連する潜在的なセキュリティの問題を発見したとはどのようなことですか。」

Oracle Cloudに関連する潜在的なセキュリティの問題を発見した場合は、関連情報をMy Oracle Supportに伝えることで、24時間以内にOracleにレポートする必要があります。 24時間内にサービス・リクエスト(SR)を作成する必要があり、この情報を公開しないか、サード・パーティに開示しないでください。 検出した脆弱性と問題の一部は、インスタンスに最新のパッチを適用することによって解決される場合があります。

「テストに関して知っておく必要がある制限は何ですか。」

Oracle Software as a Service (SaaS)インスタンスに対する侵入および脆弱性テストはすべて禁止されています。 さらに、Oracle Cloud Services上の侵入および脆弱性テストのパフォーマンスに適用できる特定のルールを、Oracle侵入および脆弱性テストのポリシー・セットから順にテストします。 制限については、ポリシーを参照してください。

「サブスクリプション用の帯域幅割当てを超える可能性があるテストを実行できますか。」

いいえ。帯域幅割当て制限を超えるテストや、サブスクリプション用の他のサブスクライブされたリソースを実行することはできません。

「ホストされたインスタンスを使用して、Oracleがホストしていない他のサービスに対する評価を実行できますか。」

いいえ。すべてのテストは、Oracleによってホストされるシングル・テナントOracle Infrastructure as a Service (Oracle IaaS)またはOracle Platform as a Service (Oracle PaaS)インスタンスで指定する必要があります。 これらは、他のインターネット・ベースのサービスをテストするプラットフォームとして使用されません。