ゼルダの伝説新作が待ち遠しくて仕事のやる気が起きない岩間です。
AWSの侵入テストのドキュメントを見ていたら、色々と変更されているではありませんか。

aws.amazon.com

調べてみたところ、2023/1/8 ~ 2023/1/15の間で更新があったようです。
変更箇所をそれぞれ確認したいと思います。

AWS上でセキュリティ評価ツールのホストすることが許可された

セキュリティ評価ツールをホストする際の内容が記載されています。

さらに、AWS は、お客様がオンプレミス、AWS、またはサードパーティーと契約したテストのために、AWS IP スペースまたは他のクラウドプロバイダー内でセキュリティ評価ツールをホストすることを許可します。

これまでAWSリソースを攻撃対象とした場合のポリシーは存在していましたが、AWSインフラ上でセキュリティ評価ツールをホストする際のポリシーは明記されていませんでした。

事前申請が不要なサービスリストの更新

新たに以下のサービスが追加されています。

• Amazon Elastic Container Service
• Amazon Elasticsearch
• Amazon FSx
• Amazon Transit Gateway
• S3 ホストアプリケーション (S3 バケットをターゲットにすることは厳に禁じられています)
• WAF
• AWS AppSync

禁止される行為の追加

• Route 53 経由の DNS ハイジャック
• Route 53 経由の DNS ファーミング

申請が必要なテストの細分化

新たに以下のテストの申請フォームが追加されています。

• Red/Blue/Purple Team テスト
• iPerf テスト
• フィッシングシミュレーション
• マルウェアテスト

AWS利用ユーザー側の責任内容の変更

AWSを利用するユーザーが責任範囲内のAWSアセットのセキュリティ評価を行う際に、ポリシーに違反しない実施方法であることを保証する必要がありましたが、変更後は「保証」の単語が消えていました。

変更前↓

(2) AWS アセットのセキュリティ評価の前に、使用したツールまたはサービスが DoS 攻撃またはそのようなシミュレーションを実行していないことを独自で検証する。AWS のお客様の責任には、契約したサードパーティがこのポリシーに違反しない方法でセキュリティ評価を実施することを保証することが含まれています。

変更後↓

(2) AWS アセットのセキュリティ評価の前に、使用したツールまたはサービスが DoS 攻撃またはそのようなシミュレーションを実行していないことを独自で検証する。AWS のお客様の責任には、契約した第三者がこのポリシーに違反しない態様でセキュリティ評価を実施するようにすることが含まれています。

まとめ

侵入テストの内容は、ペネトレーションテストや脆弱性診断などを実施する側は守らなければいけませんので、弊社のような診断事業会社にとって内容の変更はとても重要です。
今回の変更では、事前申請が不要となる対象やテストが増えているようでした。