Oracle Cloud Security Testingのポリシー
この項では、Oracle Cloudのセキュリティ・テストと機能テストのポリシー、データ・スクレーピング・ツールに関するテスト、およびサービスのテストをスケジュールするリクエストの発行方法について説明します。
Oracle Cloudのセキュリティ侵入と脆弱性のテスト
Oracle Cloudセキュリティ・テスト・ポリシーによって、脆弱性と侵入のテストやデータ・スクレーピング・ツールを使用したテストなど、Oracle Cloud Infrastructureサービスの特定のタイプのセキュリティ・テストをいつどのように実施するかが示されます。Oracle Cloudのサービスに対してそのようなテストを実施できるのは、サービス・メンテナンス・リクエストの発行に必要な権限があるOracleアカウントの顧客が、そのようなテストの対象になる環境にサインインしている場合のみです。
オラクル社では、Oracle Cloudのインフラストラクチャ、プラットフォームおよびアプリケーションに対して侵入テスト、脆弱性テストおよびセキュリティ評価を定期的に実行します。これらのテストは、Oracle Cloudサービスのセキュリティ全体を検証し、改善することを目的としています。
However, Oracle does not assess or test any components (including, non-Oracle applications, non-Oracle databases or other non-Oracle software, code or data, as may be applicable) that you manage through or introduce into – including introduction through your development in or creation in - the Oracle Cloud services (the "Customer Components").このポリシーでは、顧客コンポーネントに含まれるサードパーティのマテリアルのテストには対応せず、実施する権利も提供されません。
Oracle Cloudサービス契約で許可または制限されている場合を除き、Oracle Cloudサービスへのシステム・レベルのアクセス権を持つサービス管理者は、次のルールと制限に従って、特定のOracle Cloudサービスに含まれる顧客コンポーネントの侵入テストと脆弱性テストを実行することができます。
許可されている侵入および脆弱性テスト
顧客コンポーネントの侵入および脆弱性テストがどこで許可されるかを次に説明します:
- IaaS: 独自のモニタリング・ツールとテスト・ツールを使用して、購入したシングルテナントOracle Infrastructure as a Service (IaaS)製品の侵入および脆弱性テストを実施できます。次に示すプロセスに従ってそのような侵入および脆弱性テストを実施する前に、Oracleに通知する必要があります。このような侵入および脆弱性テストの後で、顧客コンポーネントのセキュリティを評価できます。ただし、このようなOracle Cloudサービスの他の部分またはコンポーネント(オラクル社または代理人および使用許諾者によって所有または管理される設備、ハードウェア、ソフトウェアおよびネットワークなど)を評価することはできません。
- PaaS: 独自のモニタリング・ツールとテスト・ツールを使用して、購入したシングルテナントOracle Platform as a Service (PaaS)製品の侵入および脆弱性テストを実施できます。次に示すプロセスに従ってそのような侵入および脆弱性テストを実施する前に、Oracleに通知する必要があります。このような侵入および脆弱性テストの後で、顧客コンポーネントのセキュリティを評価できます。ただし、このようなOracle Cloudサービスの他の部分またはコンポーネント(オラクル社または代理人および使用許諾者によって所有または管理される設備、ハードウェア、ネットワーク、アプリケーション、ソフトウェアなど)を評価することはできません。わかりやすくいえば、PaaSサービス上にインストールされているすべてのOracleアプリケーションは評価できません。
- SaaS: Oracle Software as a Service (SaaS)製品の侵入および脆弱性テストは許可されていません。
Oracle Cloudセキュリティ・テストのエンゲージメントのルール
クラウドの侵入および脆弱性テストには、次のエンゲージメントのルールが適用されます:
-
テストは、他のサブスクリプションまたは他のOracle Cloud顧客リソース、あるいは共有インフラストラクチャ・コンポーネントを対象にすることはできません。
-
サブスクリプションの帯域幅割当またはサブスクライブされたその他のリソースを超えてテストを実行することはできません。
-
自身のものを含むOracle Cloudアセットに対して、サービス拒否(DoS)攻撃または同様のシミュレーション、あるいはロード・テストを実行するツールまたはサービスの使用は厳しく禁止されています。
-
ポートのスキャンは、非アグレッシブ・モードで実行する必要があります。
-
インスタンスを評価する前に、侵入および脆弱性テストの際に利用するツールまたはサービスが、DoS攻撃または同様のシミュレーションを実行しないことを自主的に検証する責任があります。この責任には、契約を結んだサードパーティがこのポリシーに反しない方法で評価を確実に実行することも含まれます。
-
オラクル社従業員に対するソーシャル・エンジニアリングおよびオラクル社施設に対する物理的な侵入および脆弱性テストは禁止されています。
-
他の顧客の環境またはデータにアクセスしようとしたり、コンテナ(たとえば、仮想マシン)から抜け出そうとしたりすることはできません。
-
引き続き、Oracle Cloudサービスを購入した際の契約条件に従ってテストが行われます。このポリシーによってそのOracle Cloudサービスに関して追加の権限が付与されることはないものとみなされます。
-
Oracle Cloudに関連する潜在的なセキュリティ問題を検出したと思われる場合は、関連する情報をMy Oracle Supportに伝えることにより、24時間以内にオラクル社に報告する必要があります。サービス・リクエストは24時間以内に作成する必要があります。この情報を公開したり第三者に伝えたりしないでください。検出する脆弱性や問題の中には、インスタンスに最新のパッチを適用して自ら解決できるものもあることに注意してください。
-
他の顧客のデータに誤ってアクセスした場合は、すべてのテストをすぐに終了し、1時間以内にMy Oracle Supportに関連情報を伝えることでオラクル社に報告する必要があります。
-
テスト・アクティビティがこれらのエンゲージメントのルールに違反したために引き起こされたOracle Cloudまたは他のOracle Cloud顧客への損害に責任を負います。
通知プロセス
このポリシーで必要とされる、侵入と脆弱性テストを実施する選択をオラクル社に通知するプロセスは、クラウド・セキュリティ・テスト通知の送信を参照してください。
Oracle Cloudの機能テスト
このポリシーでは、Oracle Cloudサービスの機能テストをいつどのように実行するかを指定します。機能テストの目的は、Oracle Cloudサービスの機能が特定の機能要件または仕様を満たしていることを確認することです。これは多くの場合、ブラックボックス・テスト、回帰テストまたはユニット・テストと呼ばれ、内部構造またはソース・コードを詳しく調べずにアプリケーションの機能を評価します。
Oracle Cloudサービスの機能テストには、次のルールが適用されます:
- 本番環境ではテストを実行しないでください。デプロイメントの前に、すべての変更箇所をテスト環境でテストする必要があります。
- 手動ツールまたは自動ツールを使用して機能テストを実行できます。
- 機能テストを実行すると、Oracle Cloudサービスの主な機能が、使用性、アクセシビリティ、エラー処理などのビジネス要件を満たすことを検証できます。
- 機能テストの手順またはツールを使用して、パフォーマンス、信頼性、スケーラビリティなど、Oracle Cloudサービスの他の面をテストしないでください。
- ユニット・テスト、ユーザー受入れテスト、回帰テストおよびブラックボックス・テストを実行して、Oracle Cloudサービスの機能をテストできます。
データ・スクレーピング・ツール
Oracleユーザー・インタフェースまたはWebサービス・コールで入手可能なデータを収集するためにOracle Cloudサービスに対してデータ・スクレーピング・ツールまたはテクノロジを使用するには、Oracleの書面の特別許可が必要です。Oracleでは、提案されたデータ修正ツールを本番で使用する前にOracleで検証およびテストし、年次で再検証および再テストする必要がある権限が予約されています。
自動ツール
オラクル社は、使用可能なサードパーティの自動テスト・ツールに関する推奨は行いません。