1. はじめに
NRIセキュアテクノロジーズ株式会社(以下、「当社」といいます)は当社の製品またはサービスのセキュリティが担保されることで、豊かで安全なサイバー空間に寄与すると考えます。この活動を推進すべく、当社の製品またはサービスで発見された脆弱性に関し、脆弱性の発見者が当社へ安全に報告するために、脆弱性開示ポリシー(以下、「本ポリシー」といいます)を制定しました。
2. 報告者に求めること
報告者は本ポリシーに則って脆弱性の調査を実施してください。
2.1. 対象システムおよびサービス
当社が管理するシステムおよびサービスが本ポリシーの対象となります。
2.1.1 対象
当社のWebサービスでは以下のサービスの脆弱性を対象に報告を受け付けています。
- Secure SketCH(ドメイン:app.secure-sketch.com)
- クリプト便(ドメイン:cryvia.cryptobin.jp)
また、当社のパッケージ製品である下記の製品の報告を受け付けています。
2.1.2. 対象外
2.2. 脆弱性調査ルール
2.2.1. 共通の脆弱性調査ルール
-
誠意をもって行動してください。
-
ユーザに悪影響を与えないでください。
- 本ポリシーによらず、脆弱性調査のため当社からアカウントの貸し出し等は行いません
2.2.2. パッケージ製品における脆弱性調査ルール
2.3. 禁止事項
-
サービスおよびシステムへの過度な負荷・妨害行為
具体例:
-
自動スキャンツールを使用すること。(例:SQLmap、ffuzz/wfuzz、サービス拒否(DoS)を引き起こすように設計されたツール)
-
ポートスキャンをすること。
-
DoS攻撃などサービスに負荷を与える行為
-
当社のお客様、従業員、取引先および当社サービスの提供に危害を与える行為
-
ブルートフォースやパスワードリストを用いてログインを試みる行為 等
-
データに対する不正な操作および情報漏洩
具体例:
-
報告者の所有物ではないデータを故意に閲覧・保存・改変・破壊すること
-
事前に本人から書面による同意を得ることなく、脆弱性調査を通じて個人情報にアクセスし、削除、改変、公開、または保存等をすること
-
当社のお客様、取引先、従業員等に関するすべての情報および当社もしくは取引先の営業秘密に関する情報を抽出、改ざん、破壊、第三者に公開その他脆弱性報告に不要な行為 等
-
悪意のあるソフトウェアの利用・作成・配布
具体例:
-
その他法令違反および本ポリシーに違反する行為
具体例:
-
当社ポリシー外のシステムおよびサービスに対して試験すること
-
不正取引(課金処理や物品配送処理など)を実施・助長する行為
-
虚偽の脆弱性報告
-
既知の脆弱性を攻撃・悪用する行為
-
サービスおよびシステムが利用しているクラウドプロバイダーで禁止されている行為 等
2.4. 報告方法
-
脆弱性を報告する方は、以下のフォームよりご報告をお願いします。
脆弱性報告フォーム:https://www.nri-secure.co.jp/info/vulnerability
-
日本語または英語で報告してください。
-
報告時に動作する概念実証(Proof of Concept)を提供してください。
-
報告フォームには下記の情報を必ず含めてください。
-
脆弱性を発見した日時
-
脆弱性を確認したウェブサイトのURLもしくは製品名と製品バージョン
-
脆弱性の種類(リモートコード実行、SQLインジェクションなど)
-
発見した脆弱性の内容や影響の説明
-
脆弱性が存在する場所
-
概念実証(Proof of Concept)コード
-
脆弱性を再現する手順
-
脆弱性調査に用いたツール
-
脆弱性発見時のオペレーティングシステム名、およびバージョン
-
発見した脆弱性の内容や影響の説明、脆弱性を再現する手順はできる限り具体的に記載してください。
2.5. 報告対象の脆弱性
以下に該当すると報告者が判断した脆弱性を当社に報告してください。また、以下に該当する脆弱性であっても、報告された脆弱性は脆弱性を悪用できる可能性や脆弱性悪用時の影響度を考慮して、当社が対応要否について判断します。
-
アプリケーションレイヤーの代表的な脆弱性
-
リモートコード実行(RCE)
-
SQLインジェクション
-
クロスサイトスクリプティング
-
クロスサイトリクエストフォージェリ(CSRF)
-
ディレクトリトラバーサル 等
2.6. 報告対象外の脆弱性
以下に該当すると当社が判断した脆弱性については報告対象外としています。
-
VDPに反するもの、または対応が困難なもの:
-
再現方法やPoCがない脆弱性
-
サービス利用者の責任に起因する脆弱性
-
サービス拒否(DoS)
-
パッチ未適用に由来する利用者環境にのみ影響する脆弱性
-
当社の従業員や当社の顧客に対するソーシャルエンジニアリングやフィッシング
-
中間者攻撃が前提にある脆弱性
-
当社サービスで使用しているライブラリやサードパーティー製品・サービスに起因する脆弱性 等
2.7. 報酬
金銭的な報酬の用意はありません。当社の脆弱性発見・解決に貢献いただいた方に対しては、当社が公開する必要があると判断した脆弱性の場合に対象のセキュリティアドバイザリーに謝辞を掲載します。
2.8. 秘密保持
脆弱性情報及び当該脆弱性を利用して得られた情報を秘密情報として取り扱い、当社への報告終了後であっても、当社が当該脆弱性の修正を完了し公開するまでは、当該脆弱性情報を第三者に開示、漏洩、公表しないでください。また、報告者の利用する全てのシステムおよびデバイス上から削除いただきますようお願いいたします。
2.9. 法的措置
本ポリシーは日本国法に準拠します。本ポリシーに沿った活動は許可された行為とみなし、当社は報告者による脆弱性の調査に対し法的措置を講じません。サーバーの所在地や報告者の居住地に関わらず、日本国法に基づき解釈されます。本ポリシーに関連して報告者と当社の間で紛争が生じた場合は、東京地方裁判所を第一審の専属的合意管轄裁判所とします。
2.10. 個人情報保護方針
本ポリシーに関連して当社に提供された個人情報は、当社プライバシーポリシーに従って管理いたします。
3. 脆弱性報告後のプロセス
当社は下記のプロセスで報告された脆弱性に対処できるように努めます。
3.1. 脆弱性受付
当社の脆弱性報告フォームへ報告された脆弱性は、報告対象の脆弱性と当社が判断した場合に、10営業日までに受付を行い、報告者の方へ脆弱性報告の受付をご連絡します。
3.2. 脆弱性のトリアージ
脆弱性報告から30営業日までに当社でのトリアージに努めます。また、その結果を報告者へフィードバックします。
3.3. 脆弱性への対処
有効な脆弱性の場合、原則180日以内に脆弱性修正もしくは回避策の公開に努めます。
3.4. 脆弱性の開示
当社は、報告者以外のお客様への開示が必要であると判断した場合は、以下のいずれかにより脆弱性の開示を行います。 当社の脆弱性の発見または解決に貢献いただいた報告者に対して、謝辞の掲載に同意いただいたうえで対象のセキュリティアドバイザリーに掲載します。
