Oracle Cloud Infrastructureドキュメント

Oracle Cloudセキュリティ・テスト・ポリシー

この項では、Oracle Cloud Security Testingポリシーと、Oracle Cloudサービスのテストをスケジュールするためにリクエストを発行する方法について説明します。 Oracle Cloudセキュリティ・テスト・ポリシーには、Oracle Cloud Servicesの特定タイプのセキュリティ・テスト(脆弱性テストおよび侵入テストを含む)がいつどのように実行されるか、およびデータのスクレーピング・ツールを伴うテストが実行されるかを示します。 それとは対照的に、Oracle Cloud Servicesのテストは、ファイル・サービス・メンテナンス・リクエストに必要な権限のあるOracle Accountを持ち、そのようなテストの対象となる環境にサインインしているユーザーによってのみ実施できます。

侵入および脆弱性のテスト

Oracleは、Oracleクラウド・インフラストラクチャ、プラットフォーム、およびアプリケーションに対して、侵入および脆弱性テストとセキュリティ評価を定期的に実行します。 これらのテストは、Oracle Cloud Servicesの全体的なセキュリティを検証および改善することを目的としています。

ただし、Oracleは、Oracle Cloud Services (「顧客コンポーネント」)を介して管理される、またはOracle Cloud Servicesに導入されるコンポーネント(Oracle以外のアプリケーション、Oracle以外のデータベース、その他のOracle以外のソフトウェア、コードまたはデータなど)を - お客様の開発または作成のイントロダクションを含む - 評価またはテストしません。 このポリシーは、顧客コンポーネントに含まれるサード・パーティ資材のテストを行うための対処や用意を行いません。

Oracle Cloud Services契約で許可または制限されている場合を除き、Oracle Cloud Services契約のシステム・レベルのアクセス権を持つサービス管理者は、Oracle Cloud Servicesの次のルールと制限に従って、Oracle Cloud Servicesに含まれている顧客コンポーネントに対して侵入および脆弱性テストを実行する可能性があります。

許可されたクラウド侵入および脆弱性テスト

次に、顧客コンポーネントの侵入および脆弱性テストが許可される場所について説明します:

  • IaaS: 独自のモニタリング・ツールやテスト・ツールを使用して、単一テナントのOracle Infrastructure as a Service (IaaS)オファリングの侵入と脆弱性テストを実施できます。 下記のプロセス・セットに従った侵入や脆弱性テストを実施する前に、Oracleに通知する必要があります。 このような侵入および脆弱性テストには、顧客コンポーネントのセキュリティを評価することができます。ただし、Oracleまたはそのエージェントと相談したり管理したりする施設、ハードウェア、ソフトウェア、ネットワークなど、Oracle Cloud Servicesの他の側面やコンポーネントは評価されません。

  • PaaS: 独自のモニタリング・ツールやテスト・ツールを使用して、単一テナントのPaaSオファリングの侵入および脆弱性テストを実施できます。 下記のプロセス・セットに従った侵入や脆弱性テストを実施する前に、Oracleに通知する必要があります。 このような侵入および脆弱性テストには、顧客コンポーネントのセキュリティを評価できます。ただし、Oracleが所有または管理する施設、ハードウェア、ネットワーク、アプリケーション、およびソフトウェア、エージェントとライセンスを含む、Oracle Cloud Servicesの他の側面やコンポーネントは評価されません。 クリアするために、PaaSサービスの上にインストールされているOracleアプリケーションを評価しないことがあります。

  • SaaS: Oracle Software as a Service (SaaS)のサービスでは、侵入および脆弱性のテストは許可されません。

エンゲージメントのルール

クラウド侵入および脆弱性テストには、次のようなエンゲージメントのルールが適用されます:

  • テストでは、他のサブスクリプション、その他のOracle Cloud顧客リソース、または共有インフラストラクチャ・コンポーネントのターゲットを指定しないでください。

  • 帯域幅割当て制限や、サブスクリプション用の他のサブスクライブされたリソースを超えるテストは実行しないでください。

  • 厳格に禁止されているのは、Denial-of-Service (DoS)攻撃やサービスのシミュレーションを実行する方法、またはyoursを含むすべてのOracle Cloudアセットに対する負荷テストを実行する方法です。

  • チャネルのスキャンは、非アグレッシブ・モードで実行する必要があります。

  • 侵入および脆弱性テスト中に雇用されたツールやサービスによって、DoS攻撃や、インスタンス評価前のシミュレーションが行われないことを独立して検証する責任があります。 この責任には、契約された第三者がこのポリシーに違反しない方法で査定を実行することを保証することが含まれます。

  • Oracle従業員のソーシャル・エンジニアリング、およびOracle施設の物理的侵入および脆弱性テストは禁止されています。

  • 別の顧客の環境またはデータへのアクセス、あるいはコンテナ(たとえば仮想マシン)からの分離は決して試行しないでください。

  • 引き続きテストは、Oracle Cloud Servicesを購入した契約の条件に従うものとします。このポリシーでは、そのようなクラウド・サービスに関する追加の権利や権限が付与されるとみなされます。

  • Oracle Cloudに関連する潜在的なセキュリティの問題が発見されたと思われる場合は、関連する情報をMy Oracle Supportに伝えることで、24時間以内にOracleにレポートする必要があります。 24時間内にサービス・リクエストを作成し、この情報を公開しないか、サードパーティに開示しないでください。 検出される可能性がある脆弱性や問題は、インスタンスに最新のパッチを適用することによって、解決されることがあります。

  • 別のカスタマのデータに不注意にアクセスした場合は、すべてのテストを即座に終了し、関連情報をMy Oracle Supportに伝えて、1時間以内にOracleにレポートする必要があります。

  • ユーザーは、これらの契約ルールに従わないことによって、テスト・アクティビティが原因である、Oracle Cloudまたはその他のOracle Cloudの顧客に損害が発生しても責任を負います。

通知プロセス

Oracleに、このポリシーの必要に応じた侵入または脆弱性テストを実施するように選択を通知するプロセスは、「クラウド・セキュリティ・テスト通知の発行」に記載されています。

データ・スクレーピング・ツール

Oracleユーザー・インタフェースまたはwebサービス・コールを介して使用可能なデータを収集するためにOracle Cloud Servicesを使用するデータ・スクレーピング・ツールまたはテクノロジを使用する場合は、Oracleの書面によるアクセス権が必要です。 Oracleは、本番で使用する前に、提案されたデータのスクレーピング・ツールがOracleによって検証およびテストされる必要がある権限を予約しています。その後、本番で再検証およびテストされ、年ごとにテストされます。