脆弱性公開プログラム

Last Updated: May 21, 2020

はじめに

このページには、セキュリティ脆弱性を責任ある方法でZscalerセキュリティチームに報告しようと考えるセキュリティ研究者の方向けの情報を記載します。

セキュリティには変革が必要であり、お客様やユーザに参加していただくことが、セキュリティプログラムを変革する最良の方法です。これをセキュリティコミュニティとのコラボレーションに対する強い信念と組み合わせることが、Zscalerのすべてのユーザに安全な環境を提供し続けるための鍵となります。Zscalerの製品、サービス、またはアプリケーションそのもの、あるいはその内部にセキュリティ脆弱性を見つけたとお考えになった場合は、できるだけ早くZscalerにお知らせください。その際には、脆弱性の報告を他に公開しないこと、また、Zscalerがその問題を解決するまで研究者の皆様が公表することのないよう、お願いいたします。

In return, we will work to review reports and respond in a timely manner. Our bug bounty partner, Bugcrowd, will engage with you initially to triage your submission. Zscaler will not seek judicial or law enforcement remedies against you for identifying security issues, so long as you (1) comply with the policies set forth herein; (2) comply with Bugcrowd’s Standard Disclosure Terms; (3) do not compromise the safety or privacy of our users; and (4) do not destroy any sensitive data you might have gathered from Zscaler as part of your research once issues are resolved; and (5) agree to and comply with Zscaler's Confidentiality terms below.

Confidentiality

By engaging or participating in and/or submitting a security vulnerability to Zscaler, you agree to comply with the following confidentiality provisions.

“Confidential Information” means (i) all Zscaler information obtained during security testing or via your participation in the Zscaler Vulnerability Disclosure Program, (ii) all information disclosed to you in connection with the Bugcrowd Bounty Brief, and (ii) all submissions by you. You are not granted any rights in Zscaler’s Confidential Information or intellectual property by engaging in any testing or participating in Zscaler’s Vulnerability Disclosure Program.

Confidential Information does not include information that (i) is or becomes publicly available through no fault of your own and without breaching these provisions, (ii) is independently developed without use of or reference to Confidential Information, or (iii) is or becomes known by you from a source not bound by confidentiality restrictions.

Before engaging in any testing or submitting findings you agree (i) to hold Confidential Information in strict confidence, (ii) to protect such Confidential Information from unauthorized use or disclosure, (iii) to not disclose such Confidential Information to any third party including the public, (iv) to not use such Confidential Information for any purpose outside the scope of participating in Zscaler’s Vulnerability Disclosure Program, and (v) to notify Zscaler immediately upon discovery of any loss or unauthorized disclosure of Confidential Information. Notwithstanding the foregoing, you may disclose Zscaler’s Confidential Information to Zscaler or to Bugcrowd via the Bugcrowd partner portal.

ご協力に感謝いたします

脆弱性プログラムの対象と規定

対象になるもの

Zscalerが報告を受け付けている主な脆弱性のカテゴリは、以下のとおりです。

  • 機密データの漏洩 – ストアドクロスサイトスクリプティング(XSS)、SQLインジェクション(SQLi)など。
  • 認証またはセッションの管理に関する問題
  • リモートコード実行
  • 特に巧妙な脆弱性や、明確なカテゴリに分類されない独自性の高い問題 -すばらしいフットワークを発揮しください!
対象にならないもの

以下の脆弱性カテゴリは、Zscalerの責任ある方法での公開プログラムの対象にならないと判断されるものであるため、これらの脆弱性については報告から除外してください。

  • サービス拒否(DoS)– ネットワークトラフィックやリソースの枯渇などの方法によるもの
  • ユーザの列挙
  • 古いブラウザ/古いプラグイン/サポートを終了したソフトウェアブラウザのみに存在する問題
  • Zscalerの従業員、ユーザ、またはクライアントのフィッシングまたはソーシャルエンジニアリング
  • Zscalerが使用しているサードパーティテクノロジに関連するシステムまたは問題
  • 既知の公開ファイルの開示や物質的なリスクではないその他の情報の開示(例:robots.txt)
  • 最初に侵害されたユーザのコンピュータに起因する攻撃または脆弱性

セキュリティ研究者の皆様には、責任ある方法でセキュリティ調査にあたっていただくことが期待されています。たとえば、パスワードやキーが外部に公開されているのを発見した場合、そのキーを使用してアクセスできる範囲をテストしたり、データをダウンロードしたり外部に持ち出したりすることで有効なキーであることを証明したりしないでください。同様に、SQLインジェクションが成功することがわかった場合、概念実証の証明に必要な初期段階の手順を超えて、その脆弱性を悪用しないことが期待されます。

Zscalerのデータの過度に持ち出ししたりダウンロードしたりすること、またはZscalerのデータの破壊と引き換えに支払いを要求することは、本プログラムの対象にならない行為とみなされます。また、Zscalerは、Zscalerとそのユーザを保護するためのすべての権利、救済策、および措置を留保します。

脆弱性に対する報酬

Zscalerは脆弱性を報告していただいた研究者に深い感謝の意を表しますが、現在、Zscalerの脆弱性公開プログラムでは、報酬金の提供を行っていません。Bugcrowdの研究者である場合は、下記の功績に対する謝意を申請することもできます。Zscalerのプライベートプログラムにセキュリティ研究者として積極的に参加したいとお考えの方は、[email protected]までご連絡ください。

Zscalerの独自の裁量により、特に重要度の高い報告に対して、本規定に例外を設ける場合があります。

セキュリティ脆弱性の報告

Please use the form below to report security vulnerabilities to Zscaler through our Bugcrowd partner portal. Zscaler generally scores vulnerability based on the CVSS Score.