脆弱性報告ポリシー

株式会社ソラコム（以下、「当グループ」）はインターネット通信サービス事業者として、「世界中のヒトとモノをつなぎ、共鳴する社会」の実現にむけて、活動しています。
当グループは、電気通信サービスを安全に安定して提供していくため、これまでに実施している取組みに加えて、セキュリティ調査機関や技術者の方々からの脆弱性情報を取り扱う脆弱性報告ポリシー (以下「本ポリシー」という。)を新たに策定しました。ご報告いただいた脆弱性情報については、全て当グループ内のセキュリティ対策チームにて調査、および対応を行います。
本ポリシーに従っている限り、当グループのシステムに侵入または侵入を試みたとして報告者に対して法的措置を起こさないことを保証します。

対象サービス・製品

SORACOM ユーザーコンソール (https://console.soracom.io )
SORACOM API

参加条件

報告者は、以下の要件の全てを充たす必要があります。

16歳以上であること。また、20歳未満の場合は、親権者の同意があること
日本、米国、英国その他の国の経済制裁措置の対象国に居住していないこと
日本、米国、英国その他の国の経済制裁対象企業若しくは個人に該当しないこと
現時点で当グループの従業員（契約社員、派遣労働者等を含む。以下同じ）ではなく、また、報告時点から遡って6ヶ月以内に当グループの従業員ではなかったこと
現時点で当グループより業務委託を受け、もしくは報告時点から遡って6ヶ月以内に当グループより業務委託を受けた者でないこと

脆弱性情報の報告方法

脆弱性が疑われる場合や報告が必要なセキュリティに関する問題を発見された場合は、メールを security(アットマーク)soracom.io までお送りください。メールの機密を保護するために、PGP もご利用いただけます。公開キーは本ページ最後に記載しています。
ご報告いただいた情報を検証するための再現手順など、詳細をご記載ください。例えば以下のような情報を含まれていると受付がスムーズに進みます。

連絡先電子メールアドレス/電話番号
脆弱性確認環境
概要および再現手順
対象サービス名

なお、報告を提出いただいた時点で、本ポリシーに同意いただいたものとみなします。

禁止している行為

報告者は、以下の行為を行ってはなりません。

自分自身の所有ではないデータまたは情報（個人情報を含む）へのアクセス、保管、破壊または改ざんを試みる調査
対象サービス以外に対する脆弱性テストおよび当グループ従業員、契約業者のソーシャルエンジニアリングを行う調査
当グループまたはそのユーザに悪影響を及ぼす可能性のある行為を行う調査 (たとえば、スパム、サービス拒否攻撃など)
当グループの従業員、資産、またはデータセンターに対して物理的または電子的な攻撃を行う調査
法律または契約約款その他の契約事項に違反する調査
合意なくして、あるいは合意した期限が切れる前に、未解決の脆弱性詳細を第三者へ公開すること
公序良俗に反すると当グループが判断した行為

知的財産権

報告者は、当グループへの報告をもって、当グループが脆弱性の検証、緩和、開示を行うにあたって必要なすべての措置を講じること、およびそのために必要となる、報告についての権利を、当グループに対し許諾するものとします。

報告された脆弱性情報の評価について

評価結果の公表は都度判断といたします。

当グループの責任

ご報告いただいた方が責任を持って脆弱性報告を送信していただいた場合、当グループセキュリティチームおよび関連する開発組織は以下を実現するために合理的な努力をいたします。

脆弱性報告を受領後、すみやかににお知らせいたします
ご報告いただいた問題を誠実に議論・対応いたします
脆弱性が解決された際にご報告いただいた方にお知らせいたします
当グループウェブサイトへ報告された脆弱性の経緯とご報告いただいた方への謝辞を記載する場合があります

本ポリシーにつきまして、ご不明な点がございましたら、お問い合わせフォームよりお問い合わせください。

バグバウンティプログラム

現在、バグバウンティプログラムを公開しています。対象のスコープをご確認いただき、以下のURL からご報告いただくことも可能です。

https://issuehunt.io/programs/16803ecd-f361-494c-98eb-c7931bafad18

PGP Key

キーID: 5C022755DBAB6520
フィンガープリント: 13FF07BE08C97B25AC9F20315C022755DBAB6520