サイボウズ ホームの中のサイボウズ脆弱性報奨金制度

サイボウズ脆弱性報奨金制度

2014年6月、脆弱性報奨金制度がスタートしました。弊社パッケージ製品・クラウドサービスの脆弱性を発見し報告いただいた方に謝礼として報奨金をお支払いします。報奨金は1件あたり1,000円から最大300,000円(1件の報告から複数の脆弱性が検出された場合の金額上限は1,000,000円)です。
本番環境への影響を考慮いただくことなく、安全に検証いただくため、「脆弱性検証環境提供プログラム」を用意しました。脆弱性を発見した方のご報告はこちらからお願いします。

サイボウズ製品とは?
――延べ400万のビジネスユーザーが利用するクラウドサービス及びパッケージ製品

ビジネスに関する膨大なデータが日々蓄積され、お客様から「サイボウズの中に会社がある」と言われるほど私達のサービスは社会のインフラとして機能しています。

開催概要

開催目的

脆弱性報奨金制度は、サイボウズが提供するサービスに存在するゼロデイ脆弱性を早期に発見し改修することを目的とする制度です。

実施期間

2016年2月1日(月)〜 2016年12月26日(月)
※約1年の実施期間を経て、制度の見直しを行います。

参加条件

以下の条件を満たした方は、どなたでも参加いただけます。

  • サイボウズ株式会社社員および、関連会社社員ではないこと
  • 日本語または、英語で Cy-SIRT とコミュニケーションできること
  • 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。
  • 規約に同意いただけること

ご参加の流れ

脆弱性検証環境提供プログラムについて

本番環境への影響を考慮いただくことなく、安全に検証いただくため、「脆弱性検証環境提供プログラム」を用意。

対象となる製品・サービス及びホームページ

A)製品・サービス

■クラウドサービス

  • cybozu.com 管理と共通設定
  • サイボウズ Office クラウド版
  • Garoon on cybozu.com
  • kintone(サービス本体)
  • メールワイズ on cybozu.com
  • セキュアアクセス
  • cybozu.com Store
  • サイボウズLive
  • cybozu.com 運用基盤

■パッケージ製品

  • サイボウズ Office 10
  • サイボウズ メールワイズ 5
  • サイボウズガルーン 4
  • サイボウズ 全文検索サーバー バージョン 2.0

■モバイルサービス

  • サイボウズ KUNAI
  • サイボウズ リモートサービス
  • kintone android アプリ
  • kintone iPhone アプリ
  • サイボウズ office 新着通知
  • サイボウズ Live Timeline

■周辺サービス

  • Garoon API
  • kintone API(REST API / JavaScript API)
  • User API
  • kintone アプリストア
  • ネット連携サービス
  • サイボウズ Desktop(Win 版、Mac 版)

B)ホームページ

■サービス紹介ホームページ

■関連ホームページ

※ ホームページの脆弱性検証について

B) ホームページ に記載した各サイトについて、脆弱性検証を実施いただくことが可能です。
以下の注意事項に違反した検証の実施、他のお客様のご迷惑になる検証を実施することはお控えください。
ホームページの運営に支障を来たすような場合には、検証実施者の方に事前のご連絡をすることなく、アクセスの遮断等の措置を行う場合があります。

1.負荷検証の禁止
環境に著しい負荷を与える検証手法については、実施をご遠慮ください。 また、環境に負荷を与えることを目的とした検証は行わないでください。

2. 検証に利用するメールアドレスの指定
弊社ホームページに存在するフォームに対して検証を行う場合、 メールアドレスに「pentester@cybozutest.co.jp」を指定してください。

報奨金の計算方法

  • A)製品・サービス

    CVSS v3 の基本値「9.0〜10」X 単価「5万円」= 45万〜50万

    CVSS v3 の基本値「7.0〜8.9」X 単価「3万円」= 21万〜26.7万

    CVSS v3 の基本値「0.0〜6.9」X 単価「1万円」= 〜6.9万

    1件の報告から複数の脆弱性が検出された場合の上限は100万円
    詳細な報奨金の計算方法や2016年以降に追加された算出方法は「報奨金獲得に関するガイドライン」をご覧ください。

    ご参考:CVSS v3 基本値とは?
    CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法で、脆弱性の深刻度を、「0.0」から「10.0」までの数値で表現します。
    詳細はこちら(IPAのサイト)をご覧ください。

  • B)ホームページ

    1件 X 1万 = 報奨金

    ホームページの問題はCGIやJavaScriptなどプログラムの脆弱性であってもCVSS v2では評価せず、「件数」単位で報奨金をお支払いします。
    対象となるホームページは上記「対象となる製品・サービス及びホームページ」をご確認ください。

報奨金の寄付について

報告者は報奨金を獲得する代わりに、獲得した報奨金をサイボウズが指定する OSS コミュニティに寄付することが可能です。報告者が報奨金を寄付することを選択した場合、獲得した金額と同額をサイボウズが上乗せし、OSS コミュニティに寄付いたします。
寄付に関する詳細なルールは、以下の URL にある「報奨金獲得に関するガイドライン」の資料をご覧ください。

ご報告

Webフォームでのご報告

特設サイトへ

メールでのご報告

email:productsecurity@cybozu.co.jp
以下の内容を記載してください。

【お名前】(お名前を記載してください)
【概要】(どのような問題が発生するかを、簡潔に記載してください)
【脆弱性を確認した環境】(OS・ブラウザなど、再現環境を明確に記載してください)
【再現手順】(詳細な再現手順を記載してください)

問い合わせ

本プログラムは、サイボウズ株式会社 CSIRT(Cy-SIRT)が運営しています。
本プログラムにおける全てのお問い合わせは、メールまたは Web フォームにて受け付けます。それ以外の方法によるお問い合わせは受付けません。

email:productsecurity@cybozu.co.jp

制度の詳細

ページのトップへ