脆弱性情報ハンドリングポリシー

目的

社内外で発見された脆弱性情報を適切に取り扱い、脆弱性を適切に対応し、お客様のリスクを軽減すること。

なお、本ポリシーは、脆弱性対応および脆弱性情報の公開の2つから構成されます。

脆弱性対応

対象範囲

• 当社が作成した全てのサービスおよび、製品
• 当社が利用しているサードパーティー製品

脆弱性対応フロー

1. 情報収集
当社では社内外から広く情報収集を行い、それらの情報を一元管理しています。
具体的には、情報セキュリティ早期警戒パートナーシップや、脆弱性報奨金制度を含む外部からの報告、社内での検出などです。

2. 影響の確認
発見された情報の影響範囲と深刻度をPSIRTおよび関係部門で確認します。
当社では、深刻度の指標のひとつとしてCVSS(※1) を使用しています。発見された情報の内容に応じて、現象の深刻度・緊急度を判断します。
※1. https://www.ipa.go.jp/security/vuln/CVSSv3.html

3. 対策
調査結果に基づいて、関係部門で対応方針および対応時期などを総合的に判断し、対応を進めます。

脆弱性情報の公開

対象範囲

• 当社が作成したパッケージ製品（モバイル製品を除く）

当社では、お客様・パートナー企業が影響のある脆弱性を認識し、適切な対策を講じることを可能とするために、パッケージ製品の脆弱性情報を公開しております。
クラウド製品およびモバイル製品の脆弱性情報については、原則として公開しておりません。
また、当社が利用しているサードパーティー製品の情報開示については、CSIRT記述書の「利用しているサードパーティー製品の情報開示に関するポリシー」をご参照ください。
CSIRT記述書：
https://www.cybozu.com/jp/productsecurity/management/cysirt.html

脆弱性情報の公開フロー

1. 当社サイトでの公開
脆弱性を改修したことを自社サイトにて公開いたします。

サイボウズから発信するセキュリティ情報全般を掲載
サイボウズからのお知らせ

脆弱性情報を含むサイボウズ製品の不具合情報を掲載
不具合情報公開サイト

また、サービスの品質向上にご協力いただいた方のお名前を謝辞として掲載しております。
サービスの品質向上にご協力いただいた皆様

2. JVNでの公開
製品の脆弱性対応に関する情報は、日本国内の脆弱性対策情報ポータルサイトであるJVNにて公開します。 なお、情報公開は公表日一致の原則に従い、JPCERT/CC と取り決めた日に合わせて公開します。