クラウド・セキュリティ・テストに関するよくある質問
この項では、クラウド・セキュリティ・テストに関連するよくある質問(FAQ)に回答します。
顧客コンポーネントでクラウドのペネトレーションおよび脆弱性テストを実施する方法をよく理解するには、最初にOracle Cloud Security Testingポリシーの項を参照してください。
トピック:
侵入と脆弱性のすべてのテストに対してOracleの許可は必要ですか。
いいえ。Oracle侵入および脆弱性テスト・ポリシーにより、特定のOracle Cloudサービスに含まれる顧客コンポーネントの侵入テストと脆弱性テストを実行する場合、オラクル社の許可は必要ありません。ただし、そのような侵入および脆弱性テストを開始する前にオラクル社に通知する必要があります。Oracle Software as a Service(SaaS)製品の侵入テストと脆弱性テストは実施できません。
侵入と脆弱性のテストをオラクル社に通知するにはどうすればよいですか。
Oracleに通知するには、テストするターゲット、テストの計画開始日および計画終了日、使用するテスト・ツールに関する情報を電子メールで送信する必要があります。クラウド・セキュリティ・テストの通知の送信を参照してください。
どのインスタンスをテストできますか。
Oracle侵入および脆弱性テスト・ポリシーでは、顧客コンポーネントのインスタンス、サービスおよびアプリケーションのテストのみが許可されています。Oracle Cloud Servicesの他の部分やコンポーネント(Oracleによって管理される設備、ハードウェア・コンポーネント、ネットワーク、データベース・インスタンスなど)はすべてテストできません。Oracle Software as a Service(SaaS)製品の侵入テストと脆弱性テストは実施できません。さらに、オラクル社従業員に対するソーシャル・エンジニアリングや、オラクル社施設に対して物理的な侵入と脆弱性のテストを行うこともできません。
テストを実行する認可を受けた後で、他に何をすればよいですか。
テストを実行する前に他のアクションは必要ありません。要求した期間にテストを実施できます。
Oracle Cloudに関連する潜在的なセキュリティ問題を検出したと思われるときはどうすればよいですか。
Oracle Cloudに関連する潜在的なセキュリティ問題を検出したと思われる場合は、関連する情報をMy Oracle Supportに伝えることにより、24時間以内にオラクル社に報告する必要があります。サービス・リクエスト(SR)は24時間以内に作成する必要があります。この情報を公開したり第三者に伝えたりしないでください。検出された脆弱性や問題の中には、インスタンスに最新のパッチを適用して自ら解決できるものもあることに注意してください。
テストに関して注意すべき制限はありますか。
Oracle Software as a Service (SaaS)インスタンスに対する侵入テストと脆弱性テストはすべて禁止されています。また、Oracle侵入および脆弱性テスト・ポリシーでは、Oracle Cloud Servicesに対する侵入と脆弱性のテストのパフォーマンスに適用される特定のルールも規定されています。制限についてはポリシーを参照してください。
サブスクリプションの帯域幅割当を超える可能性があるテストを実施できますか。
いいえ。サブスクリプションの帯域幅割当またはサブスクライブされたその他のリソースを超えてテストを実行することはできません。
ホスティングされたインスタンスを使用して、Oracleでホスティングされていない他のサービスに対する評価を実施できますか。
いいえ。すべてのテストは、OracleでホスティングされているシングルテナントのOracle Infrastructure as a Service (Oracle IaaS)インスタンスまたはOracle Platform as a Service (Oracle PaaS)インスタンスを対象とする必要があります。他のインターネットベースのサービスをテストするプラットフォームとしてこれらを使用することはできません。