脆弱性公開プログラム

最終更新日:2020年5月21日

はじめに

このページには、セキュリティ脆弱性を責任ある方法でゼットスケーラーのセキュリティチームに報告しようと考えるセキュリティ研究者の方向けの情報を記載します。

セキュリティにはトランスフォーメーションが必要であり、お客様やユーザに参加していただくことが、セキュリティプログラムをトランスフォーメーションする最良の方法です。これをセキュリティコミュニティとのコラボレーションに対する強い信念と組み合わせることが、ゼットスケーラーのすべてのユーザに安全な環境を提供し続けるための鍵となります。ゼットスケーラーの製品、サービス、またはアプリケーションそのもの、あるいはその内部にセキュリティ脆弱性を見つけたとお考えになった場合は、できるだけ早くゼットスケーラーにお知らせください。その際には、脆弱性の報告を他に公開しないこと、また、ゼットスケーラーがその問題を解決するまで研究者の皆様が公表することのないよう、お願いいたします。

脆弱性の報告に対し、ゼットスケーラーは、その内容を確認して、適切な時期に対応するよう努力します。ゼットスケーラーのバグバウンティのパートナーであるBugcrowdが最初にお客様と協力し、報告していただいた脆弱性のトリアージを実施します。ゼットスケーラーは、お客様が(1)ここに記載されたポリシーを遵守し、(2)Bugcrowdの標準公開条件を順守し、(3)ユーザの安全性やプライバシーを侵害せず、かつ(4)問題の解決後に調査の一環としてゼットスケーラーから収集した機密データを破棄せず、(5)以下のゼットスケーラーの機密保持条件に同意し、遵守する限り、セキュリティ問題の特定に関する司法機関または法律機関の救済を報告者に対して求めません。

守秘義務

関与、参加、または提出という形でセキュリティの脆弱性に関わることで、以下の機密保持規定を遵守することに同意したことになります。

「機密情報」とは、(i)セキュリティテストの実施またはお客様のゼットスケーラー脆弱性開示プログラムへの参加を通じて入手したすべてのゼットスケーラーの情報、(ii)Bugcrowd Bounty Briefに関連してお客様に開示されたすべての情報、および(ii)お客様が提出したすべての情報を意味します。テストへの参加またはゼットスケーラーの脆弱性開示プログラムへの参加により、お客様には、ゼットスケーラーの機密情報や知的財産に関するいかなる権利も付与されません。

機密情報には、(i)お客様の過失やお客様による本規定への違反なく、公に知り得た情報、(ii)機密情報を使用または参照することなく独自に開発された情報、または(iii)機密保持制限に拘束されない情報源から知り得たかお客様が入手した情報は含まれません。

テストに参加する前または調査結果を提出する前に、お客様は、(i)機密情報を厳重に保管し、(ii)かかる機密情報を不正使用または開示から保護し、(iii)かかる機密情報を公衆を含む第三者に開示せず、(iv)かかる機密情報をゼットスケーラーの脆弱性開示プログラムへの参加の範囲外の目的に使用せず、(v)機密情報の損失または不正開示を発見した場合は直ちにゼットスケーラーに通知することに同意することとします。上記の定めにかかわらず、お客様は、ゼットスケーラーの機密情報をゼットスケーラーまたはBugcrowdのパートナーポータル経由でBugcrowdに開示することができます。

ご協力に感謝いたします

脆弱性プログラムの対象と規定

対象になるもの

ゼットスケーラーが報告を受け付ける主な脆弱性のカテゴリは、以下のとおりです。

  • 機密データの漏洩 – ストアドクロスサイトスクリプティング(XSS)、SQLインジェクション(SQLi)など

  • 認証またはセッションの管理に関する問題

  • リモートコード実行

  • 特に巧妙な脆弱性や、明確なカテゴリに分類されない独自性の高い問題 - すばらしいフットワークを発揮しください!

対象にならないもの

以下の脆弱性カテゴリは、ゼットスケーラーの責任ある方法での公開プログラムの対象にならないと判断されるものであるため、これらの脆弱性については報告から除外してください。

  • サービス拒否(DoS)– ネットワークトラフィックやリソースの枯渇などの方法によるもの

  • ユーザの列挙

  • 古いブラウザ/古いプラグイン/サポートを終了したソフトウェアブラウザのみに存在する問題

  • ゼットスケーラーの従業員、ユーザ、またはクライアントのフィッシングまたはソーシャルエンジニアリング

  • ゼットスケーラーが使用しているサードパーティテクノロジに関連するシステムまたは問題

  • 既知の公開ファイルの開示や物質的なリスクではないその他の情報の開示(例:robots.txt)

  • 最初に侵害されたユーザのコンピュータに起因する攻撃または脆弱性

セキュリティ研究者の皆様には、責任ある方法でセキュリティ調査にあたっていただくことが期待されています。たとえば、パスワードやキーが外部に公開されているのを発見した場合、そのキーを使用してアクセスできる範囲をテストしたり、データをダウンロードしたり外部に持ち出したりすることで有効なキーであることを証明したりしないでください。同様に、SQLインジェクションが成功することがわかった場合、概念実証の証明に必要な初期段階の手順を超えて、その脆弱性を悪用しないことが期待されます。

ゼットスケーラーのデータの過度に持ち出ししたりダウンロードしたりすること、またはゼットスケーラーのデータの破壊と引き換えに支払いを要求することは、本プログラムの対象にならない行為とみなされます。また、ゼットスケーラーは、ゼットスケーラーとそのユーザを保護するためのすべての権利、救済策、および措置を留保します。

脆弱性に対する報酬

提出していただいた脆弱性レポートが対象となるプログラムまたはサービスに影響する場合、報奨を受け取ることができます。Bugcrowdの研究者である場合は、下記の功績に対する謝意を申請することもできます。ゼットスケーラーのプライベートプログラムのセキュリティ研究者として積極的に協力したいとお考えの方は、[email protected]までご連絡ください。

ゼットスケーラーは自らの裁量により、提出された報告のどれを報奨金の対象とするかを決定します。

セキュリティ脆弱性の報告

Bugcrowdパートナーポータルを通じてセキュリティ脆弱性をゼットスケーラーに報告していただく場合は、以下のフォームを利用してください。ゼットスケーラーは通常、CVSSスコアに基づいて脆弱性をのスコアを決定します。