1. 目的
TeamT5は、お客様、パートナー、およびコミュニティの情報セキュリティ保護に取り組んでいます。
当社では、セキュリティ研究者、セキュリティ専門家、および善意をもって活動する第三者の皆様から、当社のウェブサイト、製品、サービス、またはインフラストラクチャに存在する可能性のある脆弱性やセキュリティ上の問題について、責任ある報告を歓迎します。
本ポリシーの目的は、以下のとおりです。
・明確かつ透明性のある報告窓口を提供すること
・善意で報告を行う研究者を法的リスクから保護すること
・当社製品およびサービスのセキュリティ向上に協力して取り組むこと
2. 適用範囲
本ポリシーは、以下を対象とします。
・当社が運営する公式ウェブサイト、クラウドサービスおよびインフラストラクチャ
・当社が提供するEDRをはじめとするセキュリティ製品・ソリューション
・当社の情報セキュリティに関連するすべての資産
3. 対象外
以下の内容は、原則として本ポリシーの対象外とし、報告を受け付けない場合があります。
・SPF、DMARC、DKIMの設定に関する問題
・機密情報を含まな公開ディレクトリ一覧
・HTTPエラーメッセージまたはバナー情報の表示
・利用者による弱いパスワード設定など、クライアント側に起因する問題
・物理的なアクセスを必要とする脆弱性
・当社が管理していない第三者サービスまたは第三者リソース
4. 報告方法
(1)ご報告いただきたい内容
・影響を受ける製品またはサービス名およびバージョン
・脆弱性の内容および想定される影響
・再現手順またはProof of Concept(PoC)
・ご連絡先メールアドレス
(2)報告先
メールアドレス
件名は 「[Vulnerability Report]」 としてください。
(3)対応の流れ
・72時間以内を目安に受領確認をご連絡します。
・脆弱性の重大度に応じて評価および修正を実施します。
・修正および公開完了後、ご本人の同意がある場合は謝辞ページ等でお名前を掲載します。
・原則として、報告日から90日間は脆弱性の詳細を公開しないようお願いいたします。(必要に応じて協議のうえ調整する場合があります。)
(4)CVE対応
・公開基準を満たす場合は、CNAを通じたCVE IDの取得を支援します。
・ご本人の同意がある場合は、CVEに発見者として掲載することができます。
5. 責任ある情報開示(Responsible Disclosure)
報告者の皆様には、以下へのご協力をお願いいたします。
・修正プログラムまたはセキュリティアドバイザリ公開前に脆弱性の詳細を公開しないこと
・脆弱性を悪用してデータへのアクセス、漏えい、改ざん、破壊を行わないこと
・問題の確認に必要な範囲でのみ検証を行い、破壊的なテストやバックドアの設置などを行わないこと
・当社による修正対応のため、原則90日間の猶予を設けること(必要に応じて協議します)
・調査に必要な情報を含む、明確かつ詳細な報告を行うこと
6. 法的事項(Safe Harbor)
・当社は、善意に基づき本ポリシーに従って行われた脆弱性報告について、法的責任を追及する意図はありません。
・一方で、法令に違反する行為や、脆弱性を故意または悪意をもって悪用した場合には、民事・刑事を問わず、適用される法令に基づき法的措置を講じる場合があります。
・本ポリシーは、当社との契約または協力関係を成立させるものではありません。また、必要に応じて内容を変更することがあります。
7. お問い合わせ