============================================================
■ 侵入テスト申請時の [Contact Email] について
============================================================
申請フォームでの [Contact Email] にご登録いただくメールアドレスは、Azure アカウント (申請されるサブスクリプション ID のアカウント) とは別のアドレスでも可能となっております。
なお、Azure アカウントと別のメールアドレスをご登録いただいた際には、ご登録いただいたメールアドレス、および Azure アカウントへ通知メールが配信されます。
※ Azure アカウントへは、別のメールアドレスより侵入テストの申請があった旨ご案内する内容となります。
また、[Contact Email] にご登録いただけるメールアドレスは、お一つのみとなっておりますこと、あらかじめご了承くださいませ。
============================================================
■ 侵入テスト申請後について
============================================================
上記項番 [1. 侵入テスト申請方法について] のお手続きを実施 (Submit をクリック) 後、ご登録いただいたメールアドレス (Contact Email) あてに自動配信メールが送信されます。
※ メール件名は [Microsoft Azure Penetration Testing Acknowledgement] となります。
申請フォームより侵入テストの申請を実施いただきますと、24 時間以内には自動配信メールにて申請を承った旨のメールを送信させていただいております。そのため、侵入テストを実施いただく 24 時間以上前までに、申請を実施いただけますようお願いいたします。
自動配信メールを受信いただきましたら、侵入テストを実施いただくことが可能となりますので、お手数ではございますがメールの受信状況をご確認いただけますようお願いいたします。
============================================================
■ 侵入テストでの注意点について
============================================================
侵入テストを実施される際、禁止されている行為と推奨される行為につきまして以下にご案内させていただきます。
------------------------------------------------------------
□ 侵入テストにて禁止されている行為
------------------------------------------------------------
以下の行為が確認された場合は、サブスクリプションの停止などの措置が自動でおこなわれる場合がございますので、ご留意くださいませ。
・ほかのマイクロソフト クラウドの顧客情報に属しているリソースへのスキャン、もしくはテストを実施すること。
・ほかのマイクロソフト クラウドの顧客情報や弊社帰属のデータへのアクセス権を取得すること。
・あらゆる種類のサービス拒否テスト (DoS、DDoS 攻撃およびこれらのエミュレート) を実行すること。
・Azure 仮想マシン以外の任意のリソースに対し、ネットワークに関する可用性テストを実行すること。
・大量のトラフィックを生成するサービスの自動テストを実行すること。
・意図的にほかの顧客のデータにアクセスすること。
・インフラストラクチャの実行に関する問題の再現手順が "概念実証 (Proof of Concept)" を超えること。
※ SQLi を使用して sysadmin アクセスが許可されていることを証明することは許容されますが、xp_cmdshell を実行することはできません。
・マイクロソフト オンラインサービス条件に記載されている使用ポリシーに違反する方法で当社のサービスを使用すること。
・当社の従業員に対するフィッシングなどの、ソーシャル エンジニアリング攻撃を試みること。
------------------------------------------------------------
□ 侵入テストにて推奨される行為
------------------------------------------------------------
以下はテスト実施に際して、考慮いただきたい推奨内容として記載しております。
必ずしも実施する必要はございませんので、お客様の実施予定のテスト内容を精査いただく際にご検討材料としていただけますと幸いです。
・クロス アカウント、またはクロス テナント データアクセスをデモンストレーションおよび証明するために、少数のテスト アカウントおよび / もしくは試用版テナントを作成すること。
※ ただし、これらのアカウントのいずれかを使用して、別の顧客またはアカウントのデータにアクセスすることは禁止されています。
・Azure 仮想マシンに対して、可用性、ポートスキャン、または脆弱性評価ツールを実行すること。
・アプリケーションを起動して通常業務において予測されるトラフィックの値を確認すること。
※ 高負荷時のトラフィック量を見込んだテストを実施することを推奨します。
・セキュリティの監視と検出のテストすること (例: 異常なセキュリティ ログの生成、EICAR の削除など)。
・Azure Web サイトや Azure Functions などの共有サービス コンテナの制限を超えるテストを実施すること。
※ テストにより制限を超えることができた場合、即座にテストを終了して、弊社へ調査を依頼することを推奨します。
※ 意図的にほかの顧客のデータにアクセスすることは規約違反となります。
・Microsoft Intune の条件付きアクセス、もしくはモバイル アプリケーション管理 (MAM) ポリシーを適用して、ポリシーが正常動作することを確認すること。
[更新日]
Update:202004