脆弱性開示プログラム

最終更新日:2020年5月21日

はじめに

このページには、Zscalerのセキュリティチームにセキュリティの脆弱性を報告するセキュリティ研究者向けの情報を記載しています。

セキュリティには変革が必要です。そして、セキュリティプログラムの変革には、お客様の協力が不可欠です。その協力とセキュリティコミュニティとの協業に対する強い信念が、Zscalerのすべてのお客様に安全な環境を提供し続けるための鍵となります。Zscalerの製品、サービス、アプリケーションにセキュリティの脆弱性を見つけたと思われる場合は、可能な限り早くZscalerにお知らせください。その際には、脆弱性の報告を他に公開しないこと、また、当社がその問題を解決するまで研究者の皆様が公表することのないよう、お願いいたします。

脆弱性の報告に対し、当社はその内容を確認して、適時対応するよう努めます。Zscalerのバグバウンティ (報奨金プログラム) パートナーであるBugcrowdが最初に報告者と協力し、脆弱性のトリアージを実施します。Zscalerは、お客様が (1) ここに記載されたポリシーを遵守し、(2) Bugcrowdの標準開示条件を遵守し、(3) ユーザの安全性やプライバシーを侵害せず、かつ (4) 問題の解決後に調査の一環としてZscalerから収集した機密データを破棄せず、(5) 以下のZscalerの機密保持条件に同意して遵守する限り、セキュリティの問題を特定したことを理由に、司法機関または法律機関の救済を報告者に対して求めません。

機密保持

関与、参加、提出という形でセキュリティの脆弱性に関わることで、以下の機密保持規定を遵守することに同意したことになります。

「機密情報」とは、(i) セキュリティテストの実施またはお客様のZscaler脆弱性開示プログラムへの参加を通じて入手したすべてのZscalerの情報、(ii) Bugcrowd Bounty Briefに関連してお客様に開示されたすべての情報、および(ii) お客様が提出したすべての情報を意味します。テストへの参加またはZscalerの脆弱性開示プログラムへの参加により、お客様には、Zscalerの機密情報や知的財産に関するいかなる権利も付与されません。

機密情報には、(i) お客様の過失やお客様による本規定への違反なく、公に知り得た情報、(ii) 機密情報を使用または参照することなく独自に開発された情報、または (iii) 機密保持制限に拘束されない情報源から知り得たかお客様が入手した情報は含まれません。

テストに参加する前または調査結果を提出する前に、お客様は、(i) 機密情報を厳重に保管し、(ii) かかる機密情報を不正使用または開示から保護し、(iii) かかる機密情報を公衆を含む第三者に開示せず、(iv) かかる機密情報をZscalerの脆弱性開示プログラムへの参加の範囲外の目的に使用せず、(v) 機密情報の損失または不正開示を発見した場合は直ちにZscalerに通知することに同意することとします。上記の定めにかかわらず、お客様は、Zscalerの機密情報をZscalerまたはBugcrowdのパートナーポータル経由でBugcrowdに開示することができます。

ご協力のほど、よろしくお願いいたします。

脆弱性プログラムの対象と規定

対象

Zscalerでは、主に以下の脆弱性に関する報告を募集しています。

  • 機密データの漏洩 – ストアドクロスサイトスクリプティング (XSS) 、SQLインジェクション (SQLi) など

  • 認証またはセッションの管理に関する問題

  • リモートコード実行

  • 特に巧妙な脆弱性や、明確なカテゴリに分類されない固有の問題

対象外

以下の脆弱性は、Zscalerが責任を持つ開示プログラムの範囲外であると考えられるため、対象外にしてください。

  • サービス拒否 (DoS) – ネットワークトラフィックやリソースの枯渇などの方法によるもの

  • ユーザの列挙

  • 古いブラウザ/古いプラグイン/サポートを終了したソフトウェアブラウザのみに存在する問題

  • Zscalerの従業員、ユーザ、クライアントのフィッシングまたはソーシャルエンジニアリング

  • Zscalerが使用しているサードパーティテクノロジに関連するシステムまたは問題

  • 既知の公開ファイルの開示や物質的なリスクではないその他の情報の開示 (例:robots.txt)

  • 最初に侵害されたユーザのコンピュータに起因する攻撃または脆弱性

セキュリティ研究者の皆様には、責任ある方法でセキュリティ調査にあたっていただくようお願いいたします。たとえば、外部に公開されているパスワードやキーを発見した場合、そのキーが有効であることを証明するために、キーを使用してアクセス範囲をテストしたり、データをダウンロードしたり、外部に流出させたりしないでください。同様に、SQLインジェクションが成功することがわかった場合、概念実証の証明に必要な初期段階の手順を超えて、その脆弱性を悪用しないでください。

Zscalerのデータの過度な持ち出しやダウンロード、またはZscalerのデータの破壊と引き換えにした支払いの要求は、本プログラムの範囲外とみなされ、Zscalerは自社とそのユーザを守るためにすべての権利、救済措置、行動を留保するものとします。

脆弱性の報告に対する報酬

ご提出いただいた脆弱性レポートが対象となるプログラムまたはサービスに影響する場合、報奨金を受け取ることができます。Bugcrowdの研究者である場合は、下記の功績に対する謝意を申請することもできます。Zscalerのプライベートプログラムのセキュリティ研究者として積極的に協力したいとお考えの方は、[email protected]までご連絡ください。

Zscalerは自らの裁量により、報奨金の対象となる報告を決定します。

セキュリティの脆弱性の報告

セキュリティの脆弱性をZscalerに報告する場合は、以下のBugcrowdパートナーポータルを通じたフォームを利用してください。当社では、通常、CVSSスコアに基づいて脆弱性のスコアを決定します。