有料のAuth0サブスクリプションをご利用の場合、事前承認を得ることで、Auth0のインフラストラクチャ (例: your-tenant.auth0.com) を含むアプリケーションに対するセキュリティテストを実施できます。
セキュリティテストを実施する場合は、事前に サポートセンター からご連絡ください。Auth0 では、テストの開始予定日の少なくとも7日前までに通知していただく必要があります。
テストがお客様のインフラストラクチャ内に限られる場合 (つまり、Auth0 のサービスをテストしない場合) 、Auth0 への通知は不要です。
テスト承認を依頼する際は、サポートチケットに以下の情報を記載してください。
- テストの具体的な日時とタイムゾーン。変更凍結期間中はテストを実施できません。詳しくは、以下の変更凍結期間中のペネトレーションテストポリシーをご確認ください。
- テストの範囲と目的
- テストの送信元となるIPアドレス
- 使用予定のツール
- 1秒あたりのリクエスト数 (テストはRate Limit Policyに準拠している必要があります)
- 対象のAuth0テナント
- 連絡先2名分 (電話番号とメールアドレス) - 必要に応じてご連絡できるよう、テスト期間中を通して常時対応可能な方。ご不明点がある場合、当社は合理的な範囲でご連絡を試みます。ご連絡が取れない場合、サービス保護のための措置を講じる権利を留保します。これには、お客様のテナントおよび/または不正トラフィックの送信元の停止またはブロックが含まれる場合があります。
変更凍結期間中は、ペネトレーションテストを実施できません。
- テストはお客様のテナントのみに限定すること
- テスト時の 1 秒あたりのリクエスト数は、Rate Limit Policy で定義されている上限を超えないこと
- 疑わしい発見内容があれば、確認や協議のために Auth0 Security チームに開示すること
発見された脆弱性を報告する場合は、脆弱性報告ポリシーをご確認ください。
- いかなるテナントまたはスペースに対しても、Denial of Service (DoS) テストや、許可されていない大量トラフィック攻撃を実施してはなりません。詳細については、負荷テストを参照してください。
- 当社の管理ダッシュボードを対象としたペネトレーションテストは実施できません。Management API および Authentication API は許可されています。
- 当社が承認していないテナントを対象としたペネトレーションテストは実施できません。
Private Cloud をご利用のお客様も、Auth0 サポートセンターを通じてペネトレーションテスト実施の許可を申請してください。サポートリクエストには、上記の情報を含めてください。
認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォーム