概要と目的

このドキュメントでは、Microsoft Cloud (以下で定義されます) コンポーネントに対して侵入テストを実行するお客様向けにまとめられたルール (「実施ルール」) を説明します。多くの場合、Microsoft Cloud では共有インフラストラクチャを使用して、お客様の資産や他のお客様に属する資産をホストしています。すべての侵入テストをお客様の資産に限定し、他のお客様に意図しない結果が生じないように注意する必要があります。これらの実施ルールは、他のお客様やインフラストラクチャ自体に害を及ぼすことなく、お客様の資産のセキュリティを効果的に評価できるように規定されています。
 
すべての侵入テストは、このページで詳しく説明されているように、Microsoft Cloud 侵入テストの実施ルールに従う必要があります。Microsoft Cloud の使用については、関連するサービスを購入した際の契約の使用条件が引き続き適用されます。これらの実施ルールまたは関連するサービス条件に違反がある場合、Microsoft オンライン サービス使用条件で規定されているように、お客様のアカウントの一時停止や解約、および法的措置が実施される可能性があります。お客様は、これらの実施ルールまたは Microsoft オンライン サービス使用条件を遵守できなかったことが原因で発生する、Microsoft Cloud および他のお客様のデータに対する損害や Microsoft Cloud の使用に対する損害の責任を負います。

SCOPE

これらの実施ルールで、「Microsoft Cloud」は次の Microsoft 製品を含むように定義されています。
  • Azure Active Directory
  • Microsoft Intune
  • Microsoft Azure
  • Microsoft Dynamics 365
  • Microsoft アカウント
  • Office 365
  • Azure DevOps

セキュリティ問題の報告

侵入テスト中に、Microsoft Cloud またはその他の Microsoft サービスに関連する潜在的なセキュリティ上の欠陥を発見したと思われる場合は、マイクロソフト セキュリティ レスポンス センター (MSRC) に報告してください (https://msrc.microsoft.com)。MSRC に有効な脆弱性が報告された場合、Microsoft から脆弱性が修正されたとの連絡があるまでは、お客様は、この脆弱性情報を公開しないこと、または第三者に公開しないことに同意するものとします。報告されたすべての脆弱性は、協調的な脆弱性の公開に従う必要があります。
 
Microsoft では、さまざまな種類のセキュリティの問題について、バグ報奨金や表彰を用意しています。Microsoft Cloud でセキュリティの問題を発見し、報奨金の検討対象になることを希望する場合は、こちらに記載されたバグ報奨金の規則と提出に関するガイダンスに従ってください。組織が報奨金を受け取るには、プログラムに参加するための事前登録プロセスを完了する必要があります。詳細については、bounty@microsoft.com 宛にメールでお問い合わせください。

Microsft Cloud で侵入テストを実行するための実施ルール

このプログラムの目的は、お客様が Microsoft Cloud サービスでホストされている自身のサービスを、他の Microsoft のお客様に害を及ぼすことなくテストできるようにすることです。
 
次のアクティビティは禁止されています。
  • 他の Microsoft Cloud のお客様に属している資産をスキャンまたはテストする。
  • 完全に自分が所有していないデータにアクセスする。
  • あらゆる種類のサービス拒否テストを実行する。
  • Azure Virtual Machine を除く任意の資産に対してネットワーク集中型のファジー テストを実行する。
  • 大量のトラフィックを生成するサービスの自動テストの実行。
  • 他のお客様のデータに意図的にアクセスする。
  • インフラストラクチャの実行に関する問題の「概念実証」再現手順の先に進む (たとえば、SQLi を使用して sysadmin アクセス権があることを証明することは許容されますが、xp_cmdshell の実行は許容されません)。
  • Microsoft オンライン サービス使用条件で規定されているように、利用規約に違反するような方法でサービスを使用する。
  • Microsoft の従業員に対してフィッシングやその他のソーシャル エンジニアリング攻撃を試みる。
次のアクティビティはお勧めしています。
  • アカウント間またはテナント間のデータ アクセスを実証および証明する目的で、少数のテスト アカウントや試用版テナントを作成する。ただし、これらのアカウントのいずれかを使用して、別のお客様またはアカウントのデータにアクセスすることは禁じられています。
  • 自身の Azure Virtual Machines に対してファジー テスト、ポート スキャン、または脆弱性評価ツールを実行する。
  • 通常のビジネスで発生すると考えられるトラフィックを生成して、アプリケーションのロード テストを行う。これには、サージ容量のテストが含まれます。
  • セキュリティの監視と検出をテストする (たとえば、異常なセキュリティ ログの生成、EICAR のドロップなど)。
  • Azure Websites や Azure Functions などの共有サービス コンテナーから抜け出そうとする。ただし、成功した場合はただちに Microsoft に報告し、詳細な調査は中止する必要があります。別のお客様のデータに意図的にアクセスすることは、使用条件に違反します。
  • Microsoft Intune 内で条件付きアクセスまたはモバイル アプリケーション管理 (MAM) のポリシーを適用し、これらのポリシーによって適用される制限についてテストする。
これらの禁止事項があっても、Microsoft は悪意があると思われるネットワーク上のあらゆるアクションに対応する権利を留保します。Microsoft Cloud では、自動化された多数のリスク軽減メカニズムが使用されています。侵入テストを容易にするためにこれらのメカニズムが無効になることはありません。