ある企業が、Google Cloudで実行中のアプリケーションに対して、外部のペネトレーションテスト(侵入テスト)を実施したいと考えています。Google Cloudの公式な方針として最も正確なものはどれですか?
- A. Google Cloudは自社のインフラに対するユーザーのペネトレーションテストを事前申請なしに許可しており、ユーザーが管理するリソース(VM、GKEクラスター、アプリケーション等)への侵入テストを実施できる
- B. ペネトレーションテストを実施するにはGoogleと年間1億円以上の契約が必要である
- C. ペネトレーションテストはGoogleのセキュリティチームのみが実施でき、ユーザーは依頼することしかできない
- D. Google Cloudへのあらゆるペネトレーションテストは禁止されており、違反すると利用規約違反になる
解答と解説を見る
正解: A
Google Cloudは自社インフラに対するユーザーのペネトレーションテスト(侵入テスト)をユーザーが管理するリソース(Compute Engine VM、GKE等)に対して事前申請なしに許可している(Google Cloud利用規約の範囲内)。ただし、Googleのインフラ自体(物理データセンター等)や他のユーザーのリソースへのテストは当然禁止。適切なスコープを定めてテストを実施することはクラウドセキュリティのベストプラクティス。完全禁止ではなく、Google専用でもなく、特別高額な契約も不要。
📚 関連サービスの解説: Google Kubernetes Engine(GKE)