脆弱性公開プログラム

最終更新日:2018年8月15日

はじめに

このページには、セキュリティ脆弱性を責任ある方法でZscalerセキュリティチームに報告しようと考えるセキュリティ研究者の方向けの情報を記載します。

セキュリティには変革が必要であり、お客様やユーザに参加していただくことが、セキュリティプログラムを変革する最良の方法です。これをセキュリティコミュニティとのコラボレーションに対する強い信念と組み合わせることが、Zscalerのすべてのユーザに安全な環境を提供し続けるための鍵となります。Zscalerの製品、サービス、またはアプリケーションそのもの、あるいはその内部にセキュリティ脆弱性を見つけたとお考えになった場合は、できるだけ早くZscalerにお知らせください。その際には、脆弱性の報告を他に公開しないこと、また、Zscalerがその問題を解決するまで研究者の皆様が公表することのないよう、お願いいたします。

脆弱性の報告に対し、Zscalerは、その内容を確認して、適切な時期に対応するよう努力します。ZscalerのバグバウンティのパートナーであるBugcrowdが最初にお客様と協力し、報告していただいた脆弱性のトリアージを実施します。Zscalerは、報告者が(1)ここに記載する規定を順守し、(2)Bugcrowdの標準公開条件を順守し、(3)ユーザの安全性やプライバシーを侵害せず、かつ、(4)問題の解決後に調査の一環としてZscalerから収集した機密データを破棄しない限り、セキュリティの問題の特定に関する司法機関または法律機関の救済を報告者に対して求めません。

ご協力に感謝いたします

脆弱性プログラムの対象と規定

対象になるもの

Zscalerが報告を受け付けている主な脆弱性のカテゴリは、以下のとおりです。

  • 機密データの漏洩 – ストアドクロスサイトスクリプティング(XSS)、SQLインジェクション(SQLi)など。
  • 認証またはセッションの管理に関する問題
  • リモートコード実行
  • 特に巧妙な脆弱性や、明確なカテゴリに分類されない独自性の高い問題 -すばらしいフットワークを発揮しください!
対象にならないもの

以下の脆弱性カテゴリは、Zscalerの責任ある方法での公開プログラムの対象にならないと判断されるものであるため、これらの脆弱性については報告から除外してください。

  • サービス拒否(DoS)– ネットワークトラフィックやリソースの枯渇などの方法によるもの
  • ユーザの列挙
  • 古いブラウザ/古いプラグイン/サポートを終了したソフトウェアブラウザのみに存在する問題
  • Zscalerの従業員、ユーザ、またはクライアントのフィッシングまたはソーシャルエンジニアリング
  • Zscalerが使用しているサードパーティテクノロジに関連するシステムまたは問題
  • 既知の公開ファイルの開示や物質的なリスクではないその他の情報の開示(例:robots.txt)
  • 最初に侵害されたユーザのコンピュータに起因する攻撃または脆弱性

セキュリティ研究者の皆様には、責任ある方法でセキュリティ調査にあたっていただくことが期待されています。たとえば、パスワードやキーが外部に公開されているのを発見した場合、そのキーを使用してアクセスできる範囲をテストしたり、データをダウンロードしたり外部に持ち出したりすることで有効なキーであることを証明したりしないでください。同様に、SQLインジェクションが成功することがわかった場合、概念実証の証明に必要な初期段階の手順を超えて、その脆弱性を悪用しないことが期待されます。

Zscalerのデータの過度に持ち出ししたりダウンロードしたりすること、またはZscalerのデータの破壊と引き換えに支払いを要求することは、本プログラムの対象にならない行為とみなされます。また、Zscalerは、Zscalerとそのユーザを保護するためのすべての権利、救済策、および措置を留保します。

脆弱性に対する報酬

Zscalerは脆弱性を報告していただいた研究者に深い感謝の意を表しますが、現在、Zscalerの脆弱性公開プログラムでは、報酬金の提供を行っていません。Bugcrowdの研究者である場合は、下記の功績に対する謝意を申請することもできます。Zscalerのプライベートプログラムにセキュリティ研究者として積極的に参加したいとお考えの方は、[email protected]までご連絡ください。

Zscalerの独自の裁量により、特に重要度の高い報告に対して、本規定に例外を設ける場合があります。

セキュリティ脆弱性の報告

Bugcrowdパートナーポータルを通じてセキュリティ脆弱性をZscalerに報告していただく場合は、このフォームを利用してください。Zscalerは通常、BugcrowdのVulnerability Rating Taxonomy(VRT)に基づいて脆弱性をスコアを決定します。