Automation Anywhereでは、セキュリティは優先事項であり、お客様からの信頼と信用を維持することに深く配慮しています。 Automation Anywhereの顧客として、事前の承認を得た上で、自分の登録済みAutomation Anywhereテナントに対して外部からセキュリティスキャン、評価、またはペネトレーションテストを実施することができます。 スケジュールされたテストは事前に承認され、Automation Anywhereと合意した日時に実施されなければなりません。

このページでは、顧客による合意された一回限りの(承認ごとに1つのテストスロットが許可されます)脆弱性テストおよびペネトレーションテスト活動の範囲、承認プロセスのリクエスト、報告プロセスのガイドラインを定義します。 そのようなテスト中に私たちのシステム、アプリケーション、またはネットワークインフラストラクチャに脆弱性を発見した場合、Automation Anywhere はそれを責任を持って開示していただけることに感謝します。

範囲

このテストの範囲は、既存のお客様の一人として割り当てられた Automation 360 本番 クラウド テナントURLで発見されたセキュリティの脆弱性と弱点のみに限定されています。 このようなURLまたはドメインの例は、次の形式の何かになります: https://sample_organization.automationanywhere.digital.

承認プロセスのリクエスト

ほとんどの顧客は、毎年異なるベンダーによって実施されるAutomation Anywhereの継続的な第三者ペネトレーションテストに依存しています。 これらのテストの報告は、必要な是正措置計画とともにNDAの下で提供されます。

ペネトレーションテストを実施する必要がある場合は、少なくとも2週間前にAutomation Anywhereに通知するようにお願いします。 Automation Anywhere サポートに問い合わせる このリクエストの提出と通知のために、サポートケースを開く(A-Peopleのログインが必要)f リクエスト通知には、次の情報を提供してください。
  • テスト予定の特定のURL
  • 地域(制限がある場合)
  • テスト期間、テストが行われる開始日と終了日
  • テストを行っているデバイスのIPアドレス
  • 方法論: ブラックボックス、ホワイトボックス、またはグレーボックス
  • 自動化スキャン: はい または いいえ
  • DOSタイプ攻撃: はい または いいえ
  • ブルートフォースまたは辞書型攻撃: はい または いいえ
  • 関連するその他の情報

ガイドライン

テストを実施する際は、以下のガイドラインに注意してください。

  • 可能な限り早く潜在的なセキュリティ問題を報告してください。Automation Anywhere は問題に迅速に対応し、解決するために全力を尽くします。
  • 脆弱性を再現するために十分な詳細を提供してください。概念実証を含めてください。
  • Automation Anywhereが公式な回答を提供するまで、問題を公衆または第三者に開示しないでください。
  • プライバシーの侵害、データの破壊、およびサービスの中断または劣化を避けるために誠実な努力をしてください。 あなたが所有するアプリケーションやテナント、またはアカウント所有者の明示的な許可を得ている場合のみ、インタラクトしてください。
  • アプリケーション、顧客、またはその脆弱性に関する特定や詳細を提供する可能性のある言語や画像を削除してください、もしあれば。
  • サービス拒否(DoS)などの破壊的なテストや、Automation Anywhereの情報とシステムの機密性、完全性、可用性に影響を与える可能性のある行動を行わないでください。
  • 顧客や従業員に対するソーシャルエンジニアリングやフィッシングに関与しないでください。
  • 発見された脆弱性に対して、時間と材料の補償を要求しないでください。

禁止されたアクティビティ

次の活動を行わないでください。

  • 承認されたテスト範囲外のドメインまたはサブドメイン
  • サービス拒否 (DoS) 攻撃を実行または実行しようとすること
  • ユーザーのコンピュータまたはデバイスへの物理的アクセスを必要とする脆弱性
  • Automation Anywhereパートナーサイト、サードパーティアプリケーション、ウェブサイト、またはAutomation Anywhereシステムと統合またはリンクするサービスの脆弱性テスト
  • Automation Anywhereのオフィスやデータセンターに対する物理的な攻撃
  • あなたに属さないアカウントに存在するデータにアクセスしたり、ダウンロードしたり、変更したりすること
  • 悪意のあるソフトウェアを投稿、送信、アップロード、リンク、送付、または保存すること
  • 無断または無許可のジャンクメール、スパム、ピラミッドスキーム、またはその他の無断メッセージを送信する結果となる方法でのテスト
  • Automation Anywhere のシステムの操作を低下させるような方法でのテスト

レポート作成

テスト期間が終了した後、セキュリティ脆弱性の発見をAutomation Anywhereサポートを通じて提出してください。 サポート ケースを開きます (A-People へのログインが必要)。 脆弱性を報告する際は、攻撃シナリオ、具体的な詳細テストケース、悪用可能性(ある場合)、および脆弱性のセキュリティへの影響を提供してください。Automation Anywhere は以下を約束します:

  • 一緒に問題を理解し、検証する
  • リスクへの対処(Automation Anywhere が適切と判断した場合)