侵入テスト

アプリケーションのテストとデプロイに Azure を使用するメリットの 1 つが、環境をすばやく作成できることです。 オンプレミスのハードウェアの要求、取得、および “ラックとスタック” に関して心配する必要はありません。

環境をすばやく作成することは非常に良いことですが、通常のセキュリティで適切な注意を払う必要はあります。 多くの場合に必要となる操作の 1 つは、Azure にデプロイするアプリケーションに対する侵入テストです。 お客様に代わってお客様のアプリケーションの侵入テストを行うことはありませんが、お客様が独自のアプリケーションにテストを実行する必要があると考えていることは理解しています。 お客様のアプリケーションのセキュリティを強化するときに、Azure エコシステム全体のセキュリティ保護を高めることができるため、これは良いことです。

2017 年 6 月 15 日時点で、Microsoft は Azure リソースに対する侵入テストを実施する際に事前承認を求めなくなりました。 このプロセスは Microsoft Azure にのみ関連するものであり、その他の Microsoft Cloud サービスには適用されません。

重要

侵入テストのアクティビティを Microsoft に通知する必要はなくなりましたが、お客様は「Microsoft Cloud Unified Penetration Testing Rules of Engagement (Microsoft Cloud 統合侵入テストの活動規則)」に引き続き従う必要があります。

実行できる標準テストは、次のとおりです。

• Open Web Application Security Project (OWASP) の上位 10 の脆弱性
• ファジー テスト
• ポートのスキャン

実行できない侵入テストの種類の 1 つは、サービス拒否 (DoS) 攻撃です。 このテストには、DoS 攻撃自体を開始したり、DoS 攻撃の種類の判断、デモンストレーション、またはシミュレートを実行する可能性がある関連テストを実行したりすることも含まれます。

Note

攻撃のシミュレーションには、必ず Microsoft が承認したテスト パートナーを使用してください。

• BreakingPoint Cloud: セルフサービスのトラフィック ジェネレーター。DDoS Protection 対応のパブリック エンドポインに対してシミュレーション トラフィックを生成できます。
• Red Button: エキスパートから成る専任チームと連携し、管理された環境下で現実世界の DDoS 攻撃のシナリオをシミュレーションします。
• RedWolf: リアルタイム制御を備えたセルフサービスまたはガイド付きの DDoS テスト プロバイダー。

これらのシミュレーション パートナーの詳細については、シミュレーション パートナーでのテストに関する記事を参照してください。

次のステップ

• 「侵入テストの実施ルール」について詳細を説明します。