脆弱性情報ハンドリングポリシー

目的と対象範囲

目的

社内外で発見された脆弱性情報を適切に取り扱い、脆弱性を適切に対応し、お客様のリスクを軽減すること

対象範囲

  • 弊社が作成した全てのサービスおよび、製品
  • 弊社が利用する第三者が作成したソフトウェア

構成要素

下記2つのフローから構成されます。

脆弱性対応フロー

1. 情報収集
当社では社内外から広く情報収集を行い、それらの情報を一元管理しています。
具体的には、情報セキュリティ早期警戒パートナーシップや、脆弱性報奨金制度を含む外部からの報告、社内での検出などです。

2. 影響の確認
発見された情報の影響範囲と深刻度をPSIRTおよび関係部門で確認します。
当社では、深刻度の指標のひとつとしてCVSS(※1) を使用しています。発見された情報の内容に応じて、現象の深刻度・緊急度を判断します。
※1. https://www.ipa.go.jp/security/vuln/CVSSv3.html

3. 対策
調査結果に基づいて、関係部門で対応方針および対応時期などを総合的に判断し、対応を進めます。

脆弱性情報公開フロー

製品の脆弱性対応に関する情報を、自社サイトおよび日本国内の脆弱性対策情報ポータルサイトであるJVNにて公開します。 なお、情報公開は公表日一致の原則に従い、JPCERT/CC と取り決めた日に合わせて公開します。
自社サイトの具体的な公開場所については、次の項を参照ください。

脆弱性情報の公開

脆弱性を改修したことを自社サイトにて公開いたします。

サイボウズから発信するセキュリティ情報全般を掲載
サイボウズからのお知らせ

脆弱性情報を含むサイボウズ製品の不具合情報を掲載
不具合情報公開サイト

謝辞掲載

脆弱性情報を公開後、報告者の方のお名前を掲載します。
掲載後、改めてご連絡いたします。
サービスの品質向上にご協力いただいた皆様