VULNERABILITY DISCLOSURE POLICY
脆弱性開示
ポリシー
株式会社リミックスポイントおよびその関連企業(以下まとめて「リミックスポイント」「当社」「弊社」といいます)は、セキュリティの重要性を重視しています。
本ポリシーは、ReafCoreX製品に関連するシステムおよび機能に限定して適用されます。当社の他サービスおよびWebサイトは本ポリシーの対象外です。
当社に対して報告を検討している方は、脆弱性を報告する前に、本ポリシーを全文ご確認いただき、常に本ポリシーの定めに準拠して行動することを推奨いたします。
当社は、本ポリシーに基づきセキュリティ脆弱性の報告に時間と労力を費やしてくださる方々の取り組みを高く評価しております。ただし、脆弱性の開示に対する金銭的な報酬は提供しておりません。
報告方法
セキュリティ脆弱性を発見したと判断される場合は、以下のメールアドレスより報告書を当社に提出してください。
脆弱性の詳細
報告書には、以下の情報を記載してください。
- 脆弱性が確認できる資産(ウェブアドレス、IP アドレス、製品またはサービス名)
- 脆弱性の種別(CWE など)(任意)
- 深刻度(CVSS v3.0 など)(任意)
- 脆弱性のタイトル(必須)
- 脆弱性の記述(概要、裏付けファイル、適用可能な緩和策または推奨事項を含むこと)(必須)
- 影響範囲(攻撃者が実行可能な行為)(必須)
- 再現手順:悪意がなく、破壊的でない検証コンセプトに基づく内容とすること。これにより、報告書の迅速かつ正確な審査が実現し、重複報告や、サブドメイン乗っ取りなど一部脆弱性に係る悪意のある悪用リスクを低減できます。
任意の連絡先情報
- 氏名
- メールアドレス
当社に報告されたすべての情報は機密情報とみなし、細心の注意を払って取り扱います。また、ご提供いただいた個人情報については、適用されるプライバシーポリシーの定めに従って取り扱います。
報告後の対応
報告書を提出いただいた後、当社は営業日 5 日以内に返信し、営業日 10 日以内に報告書の審査を完了することを目標とします。また、脆弱性対応の進捗状況について、適宜ご通知することを約束いたします。
脆弱性の修正優先度は、影響範囲、深刻度、悪用の難易度を総合的に評価して決定されます。脆弱性の報告には、審査または対応に一定の時間を要する場合があります。進捗状況の問い合わせは歓迎いたしますが、14 日に 1 回を超えないようお願いいたします。これにより、当社の対応チームは脆弱性の修正作業に専念することができます。
報告された脆弱性の修正が完了した場合、速やかにご本人に通知いたします。また、修正策が当該脆弱性に適切に対応しているかの確認を、ご協力をお願いする場合があります。
脆弱性の解決が完了した後、報告内容の公開要請を歓迎いたします。被害を受けたユーザーへのガイダンスを統一するため、報告内容の公開については、必ず当社と調整を行った上で実施してください。
行動上のガイダンス
以下の行為は一切禁止します。
- 適用される法令または規則に違反する行為<
- 必要以上の、過剰な、または大量のデータへのアクセス行為
- 当社のシステムまたはサービスにおけるデータの改ざん行為
- 脆弱性の発見を目的として、高負荷な侵入的または破壊的なスキャニングツールを使用する行為
- 大量のリクエストによりサービスを圧迫するなど、あらゆる形のサービス拒否攻撃の試行または報告行為
- 当社のサービスまたはシステムの運用を妨害する一切の行為