脆弱性報告ポリシー
株式会社ソラコム(以下、「当グループ」)はインターネット通信サービス事業者として、「世界中のヒトとモノをつなぎ、共鳴する社会」の実現にむけて、活動しています。
当グループは、電気通信サービスを安全に安定して提供していくため、これまでに実施している取組みに加えて、セキュリティ調査機関や技術者の方々からの脆弱性情報を取り扱う脆弱性報告ポリシー (以下「本ポリシー」という。)を新たに策定しました。ご報告いただいた脆弱性情報については、全て当グループ内のセキュリティ対策チームにて調査、および対応を行います。
本ポリシーに従っている限り、当グループのシステムに侵入または侵入を試みたとして報告者に対して法的措置を起こさないことを保証します。
対象サービス・製品
- SORACOM ユーザーコンソール (https://console.soracom.io )
- SORACOM API
参加条件
報告者は、以下の要件の全てを充たす必要があります。
- 16歳以上であること。また、20歳未満の場合は、親権者の同意があること
- 日本、米国、英国その他の国の経済制裁措置の対象国に居住していないこと
- 日本、米国、英国その他の国の経済制裁対象企業若しくは個人に該当しないこと
- 現時点で当グループの従業員(契約社員、派遣労働者等を含む。以下同じ)ではなく、また、報告時点から遡って6ヶ月以内に当グループの従業員ではなかったこと
- 現時点で当グループより業務委託を受け、もしくは報告時点から遡って6ヶ月以内に当グループより業務委託を受けた者でないこと
脆弱性情報の報告方法
脆弱性が疑われる場合や報告が必要なセキュリティに関する問題を発見された場合は、メールを security(アットマーク)soracom.io までお送りください。 メールの機密を保護するために、PGP もご利用いただけます。公開キーは本ページ最後に記載しています。
ご報告いただいた情報を検証するための再現手順など、詳細をご記載ください。例えば以下のような情報を含まれていると受付がスムーズに進みます。
- 連絡先電子メールアドレス/電話番号
- 脆弱性確認環境
- 概要および再現手順
- 対象サービス名
なお、報告を提出いただいた時点で、本ポリシーに同意いただいたものとみなします。
禁止している行為
報告者は、以下の行為を行ってはなりません。
- 自分自身の所有ではないデータまたは情報(個人情報を含む)へのアクセス、保管、破壊または改ざんを試みる調査
- 対象サービス以外に対する脆弱性テストおよび当グループ従業員、契約業者のソーシャルエンジニアリングを行う調査
- 当グループまたはそのユーザに悪影響を及ぼす可能性のある行為を行う調査 (たとえば、 スパム、サービス拒否攻撃など)
- 当グループの従業員、資産、またはデータセンターに対して物理的または電子的な攻撃を行う調査
- 法律または契約約款その他の契約事項に違反する調査
- 合意なくして、あるいは合意した期限が切れる前に、未解決の脆弱性詳細を第三者へ公開すること
- 公序良俗に反すると当グループが判断した行為
知的財産権
報告者は、当グループへの報告をもって、当グループが脆弱性の検証、緩和、開示を行うにあたって必要なすべての措置を講じること、およびそのために必要となる、報告についての権利を、当グループに対し許諾するものとします。
報告された脆弱性情報の評価について
評価結果の公表は都度判断といたします。
当グループの責任
ご報告いただいた方が責任を持って脆弱性報告を送信していただいた場合、当グループセキュリティチームおよび関連する開発組織は以下を実現するために合理的な努力をいたします。
- 脆弱性報告を受領後、すみやかににお知らせいたします
- ご報告いただいた問題を誠実に議論・対応いたします
- 脆弱性が解決された際にご報告いただいた方にお知らせいたします
- 当グループウェブサイトへ報告された脆弱性の経緯とご報告いただいた方への謝辞を記載する場合があります
本ポリシーにつきまして、ご不明な点がございましたら、お問い合わせフォームよりお問い合わせください。
バグバウンティプログラム
現在、バグバウンティプログラムを公開しています。対象のスコープをご確認いただき、以下のURL からご報告いただくことも可能です。
https://issuehunt.io/programs/16803ecd-f361-494c-98eb-c7931bafad18
PGP Key
-----BEGIN PGP PUBLIC KEY BLOCK-----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=OmWj
-----END PGP PUBLIC KEY BLOCK-----