ホスティング会社・サービスプロバイダーへの脆弱性診断実施の申請方法

IDC・レンタルサーバー会社に申請する場合

以下の内容を記入して、各社のサポート窓口などへ脆弱性診断実施の連絡を行い、事前に承諾を得てください。

項目	説明・記入例
会社名	（例）サイバートラスト株式会社
部署名	（例）情報システム部
担当者名	（例）山田太郎
担当者メールアドレス	（例）taro-yamada@cybertrust.ne.jp
連絡先電話番号	（例）03-1234-567x
診断対象のWebサーバー（FQDN）	（例）www.cybertrust.ne.jp
診断を担当する会社	三和コムテック株式会社
診断ツール	SCT SECURE クラウドスキャン http://www.sct.co.jp/business/detail/002269.shtml
診断元のIPアドレスリスト	50.112.117.210 50.18.47.202 54.238.58.132 54.238.58.170 54.248.232.132 54.250.120.153 54.248.225.50 54.250.121.28 54.250.126.99 54.249.246.115 54.249.240.14 66.96.212.79 113.43.143.34
診断開始予定	お申し込み日の翌日午前0時
診断頻度	毎日1回（Lightの場合は毎月1回）

Microsoft Azureをご利用の場合

■ Microsoft Azure での侵入テスト (ペネトレーションテスト) の申請について

https://blogs.msdn.microsoft.com/dsazurejp/2014/10/14/microsoft-azure-12/

■ 侵入テスト (ペネトレーションテスト) の申請フォーム

下の申請フォームの書き方を参考に以下の申請フォームより申請を行ってください。

https://security-forms.azure.com/penetration-testing

■ Webスキャナー（Light）をご利用いただく際の侵入テスト申請フォームの書き方

Request Details

申請項目	説明・記入例
Azure portal login email	ポータルログイン用のアカウントメールアドレス azure@trust.ne.jp
SubscriptionId	サブスクリプションID 00000000-0000-0000-0000-000000000000
Contact name	担当者名 Taro Yamada
Contact email address	担当者メールアドレス（この方にメールが通知されます。また設定は1名のみです。）セキュリティチームより連絡が行く場合があるので連絡のつくメールアドレスを設定してください。 taro.yamada@cybertrust.ne.jp
Contact phone number	電話番号：国番号（日本+81）をつけ、先頭の0は省きます。 +81-3-1234-567x
Is test being performed by third party	別会社に委託の場合はチェックチェック
Name of third party	委託会社の会社名 Sanwa Comtec K.K.
Contact individual at third party	委託先の担当者名 Beyond Security
Contact individual phone number	委託先の担当者電話番号 +1-408-329-6041
Contact individual email address	委託先の担当者メールアドレス support@beyondsecurity.com
Requested start date	テスト開始日（UTC）日本時間の開始時間から-9時間をした際の日付を設定申し込み日をご記入ください
Requested end date	テスト終了日（UTC）日本時間の終了時間から-9時間をした際の日付を設定・夕方にかかる場合には、翌日を設定してください。・予備日がある場合にはそれを含めた日数で申請ください。（申請許可後の日程変更はできません）申込日から2週間後をご記入ください
Detailed description of test	テストの詳細 We will scan the site to check vulnerability monthly to secure the environment more. We will conduct port scan and check the running services on the site. Scan does not have DOS test. (We will conduct scan monthly after first scan. Frist scan will be started and ended with above date.)
listing of IP addresses and DNS names from where the tests will originate	テスト元のIDアドレスリストもしくはDNSリスト 50.112.117.210 50.18.47.202 54.238.58.132 54.238.58.170 54.248.232.132 54.250.120.153 54.248.225.50 54.250.121.28 54.250.126.99 219.101.136.130

Tested Resources

申請項目	説明・記入例
Resource type	サービス名 ○○○○○
Azure DNS name of resource	対象URL（Azureで割り当てられているURL） Azureで割り当てられているURLを記入してください
Description of test performed on resource	具体的なテストの概要を英語で記載 We will scan the site to check vulnerability monthly to secure the environment more. We will conduct port scan and check the running services on the site. Scan does not have DOS test.
Tooling or utilities to be used on resource	利用するツールを具体的に記載。情報提供いただけない場合にはテストが許可されませんのでご注意ください。 AVDS by Beyond Security

申請項目	説明・記入例
Testing only includes the standard tests described	テストが標準テストのみの場合にはこちらを選択チェックしない
I accept the terms and conditions	侵入テストの条件事項を熟読し同意しましたら選択（同意いただかない限り申請はできません）チェック
I will not perform any of the prohibited test	禁止テスト（DoSテストなど）が含まれないことを確認しましたら選択チェック

申請項目

説明・記入例

Testing only includes the standard tests described

テストが標準テストのみの場合にはこちらを選択

チェックしない

I accept the terms and conditions

侵入テストの条件事項を熟読し同意しましたら選択（同意いただかない限り申請はできません）

チェック

I will not perform any of the prohibited test

禁止テスト（DoSテストなど）が含まれないことを確認しましたら選択

チェック

Amazon AWS

■ AWS (Amazon Web Services) での侵入テスト (ペネトレーションテスト) の申請について

https://aws.amazon.com/jp/security/penetration-testing/

■ Webスキャナー（Light）をご利用いただく際の侵入テスト申請フォームの書き方

Contact Information

申請項目	説明・記入例
Your Name	担当者の氏名 Taro Yamada
Company Name	会社名 Cybertrust Japan Co., Ltd.
Email Address	AWSアカウントのメールアドレス aws@cybertrust.ne.jp
Additional Email Address	CCに追加するメールアドレス taro.yamada@cybertrust.ne.jp
Third Party Contact Information	診断を第三者に委託する場合に記入する第三者の連絡先 Company Name：Beyond Security Contact Phone: +1-408-329-6041 Email: support@beyondsecurity.com

Scan Information

申請項目	説明・記入例
IP Addresses to be scanned (Destination)	診断対象のIPアドレス（ELBも申請可能）診断対象のIPアドレスを記入してください
Are the instances the source of the scan or the target of the scan?* Source Target	下の項目（Instance ID）で入力するEC2インスタンスが診断元なのか診断対象かを選択 Target
Instance IDs*	上記の項目に該当するEC2インスタンスIDを入力
Scanning IP addresses (Source)*	診断を行う、接続元のIPアドレスを入力 50.112.117.210 50.18.47.202 54.238.58.132 54.238.58.170 54.248.232.132 54.250.120.153 54.248.225.50 54.250.121.28 54.250.126.99 219.101.136.130
Total Bandwidth (Please provide expected Gbps)*	テストで想定される秒間の転送量（帯域幅）を入力 8 - 240kbps（但し、稼動しているサービスや環境により異なる）
What region are these instances in?*	EC2インスタンスがあるリージョンを選択 Asia Pacific
Time Zone	時刻のタイムゾーンを選択 GMT+9
Start Date and Time (YYYY-MM-DD HH:MM)*	診断開始時刻申し込み日の翌日午前0時をご記入ください
End Date and Time (YYYY-MM-DD HH:MM)*	診断終了時刻申し込み日の2週間後の午前0時をご記入ください
Additional Comments	脆弱性診断に関すると特記事項などあればコメント上記日程での診断実施後、月次で診断を実施してまいります