有料のAuth0サブスクリプションをお持ちの場合は、事前に承認を得れば、Auth0のインフラストラクチャ(例:your-tenant.auth0.com)でアプリケーションのセキュリティをテストすることができます。
ペネトレーションテストのリクエストを送信する
セキュリティテストを実施するには、前もってサポートセンターにお知らせください。遅くともテスト開始予定日の7日前にAuth0に通知する必要があります。
自社のインフラストラクチャ内で限定的にテストを実施する(つまり、Auth0サービスはテストされない)場合は、Auth0への通知は不要です。
必要な情報
テストの承認をリクエストする場合には、サポートチケットに以下の情報を入力してください。
- テストの実施日時とタイムゾーン。変更凍結期間中はテストを実施できません。詳細については、以下で変更凍結ペネトレーションテストポリシーをお読みください。
- テストのスコープと目的
- テストを実施するIPアドレス
- 使用予定のツール
- 1秒当たりの要求数(テストはレート制限ポリシーに従う必要があります)
- 関与するAuth0テナント
- こちらから連絡が必要になった場合に備えて、テスト期間中常時対応できる2人の連絡担当者の電話番号とメールアドレス。当方で質問がある場合には、連絡を取るための妥当な努力をします。連絡がつかない場合、当方は、サービスを保護する目的で措置を講じる権利を留保します。それには、テナントや侵入トラフィックの出所をシャットダウンまたはブロックする行為が含まれます。
変更凍結ポリシー
変更凍結期間中、ペネトレーションテストは許可されません。
テスト要件
Auth0は以下を要求しています。
- テストを実施者のテナントのみに限定すること
- テストの要求毎秒(RPS)がレート制限ポリシーで定義されたレートを超えないこと
- 不審なものを発見した場合は、説明・話し合いのためにAuth0のセキュリティーチームに開示すること
特定された脆弱性の報告
特定された脆弱性の報告については、「脆弱性報告ポリシー」をお読みください。
- いかなる負荷テスト(サービス拒否攻撃のテストなど)も、負荷テストポリシーにより禁止されています。
- 当方の管理ダッシュボードを対象にペネトレーションテストを実施してはなりません。とAuthentication APIは許可されます。
- 承認されていないテナントを対象にペネトレーションテストを実施してはなりません。
プライベートクラウドをご利用の場合
プライベートクラウドをご利用の場合にも、Auth0サポートセンターを通してペネトレーションテストの実施を申請する必要があります。上記の情報をサポートのリクエストと共に提出してください。
もっと詳しく
