Oracle Cloud Infrastructureドキュメント

クラウド・セキュリティ・テストに関するよくある質問

このセクションには、クラウド・セキュリティ・テストに関連するよくある質問(FAQ)への回答が表示されます。

「顧客コンポーネント」のクラウド侵入および脆弱性テストの実施方法を完全に理解するには、最初に「侵入および脆弱性のテスト」の項をレビューする必要があります。

トピック:

「侵入および脆弱性テストすべてにOracleアクセス権が必要ですか。」

いいえ。Oracle侵入および脆弱性テスト・ポリシーごとに、特定のOracle Cloudサービスに含まれる顧客コンポーネントの侵入および脆弱性テストを実施するためのOracleの権限は必要ありません。 しかし、侵入および脆弱性テストを開始する前に、Oracleに通知する必要があります。 Oracle Software as a Service (SaaS)オファリングの侵入および脆弱性テストは実施できません。

「侵入および脆弱性テストについてOracleに通知するにはどうすればいいですか?」

Oracleに通知するには、テストするインスタンスに関連付けられた管理者の資格証明を使用してMy Servicesにログインする必要があります。 テストするインスタンス、テストの計画開始日と終了日、および使用するテスト・ツールについての情報を含むフォームを完了して送信する必要があります。 この通知プロセスの詳細は、「侵入および脆弱性のテスト」の項を参照してください。

「どのインスタンスをテストできますか。」

Oracle侵入および脆弱性テスト・ポリシーでは、顧客コンポーネントであるインスタンス、サービスおよびアプリケーションのテストのみが許可されます。 Oracle Cloud Servicesのほかのすべての側面およびコンポーネント(Oracle管理ファシリティ、ハードウェア・コンポーネント、ネットワーク、ソフトウェア、データベース・インスタンスを含む)はテストできません。 Oracle Software as a Service (SaaS)オファリングの侵入や脆弱性テストは実施できません。 また、Oracle従業員のソーシャル・エンジニアリング、Oracle施設への物理的侵入および脆弱性テストを実施できません。

「テストを実行する権限を受けた後、自分のパートに対する他のアクションは何ですか。」

テストを実行する前に他のアクションは必要ありません。 リクエストした期間テストを実施できます。

「Oracle Cloudに関連する潜在的なセキュリティの問題を発見したとはどのようなことですか。」

Oracle Cloudに関連する潜在的なセキュリティの問題を発見した場合は、関連情報をMy Oracle Supportに伝えることで、24時間以内にOracleにレポートする必要があります。 24時間内にサービス・リクエスト(SR)を作成する必要があり、この情報を公開しないか、サード・パーティに開示しないでください。 検出した脆弱性と問題の一部は、インスタンスに最新のパッチを適用することによって解決される場合があります。

「テストに関して知っておく必要がある制限は何ですか。」

Oracle Software as a Service (SaaS)インスタンスに対する侵入および脆弱性テストはすべて禁止されています。 さらに、Oracle Cloud Services上の侵入および脆弱性テストのパフォーマンスに適用できる特定のルールを、Oracle侵入および脆弱性テストのポリシー・セットから順にテストします。 制限については、ポリシーを参照してください。

「サブスクリプション用の帯域幅割当てを超える可能性があるテストを実行できますか。」

いいえ。帯域幅割当て制限を超えるテストや、サブスクリプション用の他のサブスクライブされたリソースを実行することはできません。

「ホストされたインスタンスを使用して、Oracleがホストしていない他のサービスに対する評価を実行できますか。」

いいえ。すべてのテストは、Oracleによってホストされるシングル・テナントOracle Infrastructure as a Service (Oracle IaaS)またはOracle Platform as a Service (Oracle PaaS)インスタンスで指定する必要があります。 これらは、他のインターネット・ベースのサービスをテストするプラットフォームとして使用されません。