ハニーポットの運用が規約違反でないか調べてみた#2
以前に書いた記事「ハニーポットの運用が規約違反でないか調べてみた」の続きです。
クラウド系のサービスはサポート契約しないと質問出来ないので(つまり、お金が掛かるので)調査対象から外していましたが、今回はMicrosoft AzureとAWSについて調べました(AWSは現在、回答待ち)。
サポートからの回答結果
Microsoft Azure
- 2017/10/30にサポートから回答を頂きました。下記の内容は確認した当時の情報になります。
- 特定のアプリケーションやサービスに対して個別に許諾や禁止はしていない。
- 利用規定に反しないものであれば、お客様の責任においてインストール・運営することは可能である。
- Microsoft Volume Licensing - Product Licensing Search
- MicrosoftOnlineServicesTerms(Japanese)(October2017)(2017年10月付の日本語版。Wordの資料になります。)
- 他のお客様への不正アクセスが発生したり、Azure のサービスに影響がなければ運用は禁止されない。
- 仮想マシン(VM)で運用する場合、VM の通信内容や通信先、およびセキュリティを適切な状態に管理することは、お客様の責任範囲となる。
ということで、VPSの時と同様にインストール・運用することは禁止されていないですが、自分のセキュリティ対策が不十分で他の人やサービスに影響がある場合は制限されるようです。
Amazon Web Services
- 回答待ち。 2017/11/07にサポートから回答を頂きました。下記の内容は確認した当時の情報になります。
- AWSの適正利用規約及びカスタマーアグリーメントの範囲内における利用であればハニーポットの運用は問題ない。
- Honeypotを利用し、Bad Botを検出して自動でWAFのブラックリストに追加するアーキテクチャを紹介しているケースも公式に掲載している。
- 適正利用規約外であるAWS環境に対して、またはAWS環境からの侵入テストや脆弱性スキャンを実施するする場合は、他のお客様のリソースに対し影響を及ぼすことも懸念されるので、念のためにテストの申請を実施してほしい。
注意事項
- 前回の記事でも同様のことを書いていますが、再度、書いておきます。
- 自分が問い合わせした結果を記載していますが、規約の変更や運用方法などによりNGとなる場合もあると思うので、利用規約などは読んでおきましょう。
- インストールがOKになっていても、第三者に乗っ取られたり、他のお客様に迷惑がかかる場合はサービス停止や制限がかかるのでセキュリティ対策はしっかりやりましょう(自分が攻撃者になってしまわないように気をつける)。
No Comments Yet