Alibaba Cloud での侵入テストの申請

この記事は Alibaba Cloud の日本サイト の環境(ドキュメントやアカウント、そのアカウントでの検証結果)に基づいて記載しています。 日本サイトと国際サイトでは各プロダクトごとに提供機能が一部異なることがあります(そのほとんどは国際サイトの方が日本サイトよりも多機能になっている)。記事の内容は適宜最新化する予定です。

コンソールのセキュリティ設定を色々と確認している中で”侵入テストの申請”画面を見つけたのでご紹介します。 Alibaba CloudのECS上に作成したWebサイトについて脆弱性診断などを行う際に利用するものです。

申請画面にアクセスするにはコンソールにログインし、右上のアイコンから”セキュリティコントロール”をクリックします。

”侵入テストの申請”をクリックします。 テストに関する諸条件の記載があるので確認しましょう。 ドキュメントセンターには見当たらずでしたが。

自身が契約しているECSまたはSLBのパブリックIPを指定し、”次へ”をクリックします。

テストの内容を記載し、”OK”をクリックします。 私はこの先は試していません。 実際にテストする場面があれば申請してみます。 

今回はAlibaba Cloud上のECSないしSLBに対する侵入テストの申請でした。  

逆はどうでしょうか? ECSに侵入テストツールを設置し、外部のホストを対象に侵入テストを実施するイメージです。 例えばですが、中国に拠点を持つ日本企業が中国本土上に稼働する自社システムのセキュリティテストを定期的に実施したいという利用シーンです。  半年以上前ですがこれはNGと確認しています(中国だからNGということではなく、 Alibaba Cloud として外部への攻撃と認識されるような使い方は NG)。  気になる人はサポートチケットから最新の状況を確認してみましょう。

以上です。