脆弱性報奨金制度

サイボウズ脆弱性報奨金制度

2014年6月、脆弱性報奨金制度がスタートしました。弊社パッケージ製品・クラウドサービスの脆弱性を発見し報告いただいた方に謝礼として報奨金をお支払いします。報奨金は1件あたり1,000円から最大500,000円（1件の報告から複数の脆弱性が検出された場合の金額上限は2,000,000円。）です。本番環境への影響を考慮いただくことなく、安全に検証いただくため、「脆弱性検証環境提供プログラム」を用意しました。脆弱性を発見した方のご報告はこちらからお願いします。

Cybozu BugBounty English page

開催概要

開催目的

脆弱性報奨金制度は、サイボウズが提供するサービスに存在するゼロデイ脆弱性を早期に発見し改修することを目的とする制度です。

報奨金制度の実施期間

2018年4月9日（月）〜 2018年12月20日（木）

脆弱性と認定されたご報告に対して、報奨金制度に応じた金額をお伝えする期間です。
実施期間外に脆弱性情報をお寄せいただいた場合は翌年度の報奨金制度の対象になります。

脆弱性を報告いただく期間

脆弱性情報は随時受け付けております。

参加条件

以下の条件を満たした方は、どなたでも参加いただけます。

サイボウズおよび、サイボウズの子会社の従業員ではないこと
日本語または、英語で Cy-SIRT とコミュニケーションできること
検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。
規約に同意いただけること

ご参加の流れ

脆弱性検証環境提供プログラムお申し込み
※必要に応じて
検証
ご報告
審査
お支払

対象となる製品・サービス及びホームページ

製品・サービス

クラウドサービス

cybozu.com 管理と共通設定
サイボウズ Office クラウド版
Garoon on cybozu.com
kintone（サービス本体）
メールワイズ on cybozu.com
セキュアアクセス
cybozu.com Store
cybozu.com 運用基盤

パッケージ製品

サイボウズ Office 10
サイボウズメールワイズ 5
サイボウズガルーン 4
サイボウズ全文検索サーバーバージョン 2.0

モバイルサービス

サイボウズ KUNAI
サイボウズリモートサービス
kintone android アプリ
kintone iPhone アプリ
サイボウズ office 新着通知

周辺サービス

Garoon API
kintone API（REST API / JavaScript API）
User API
kintone アプリストア
サイボウズ Desktop（Win 版、Mac 版）

本番環境(お客様にご利用いただいている環境)の脆弱性検証について

本番環境を利用した脆弱性検証は実施いただくことはできません。他のお客様のご迷惑になるような行為は行わないでください。
サービスの運用に支障を来たすような場合には、検証実施者の方に事前のご連絡をすることなく、アクセスの遮断等の措置を行う場合があります。

脆弱性検証を禁止している環境

(サブドメイン).cybozu.com
cybozulive.com
(サブドメイン).kintone.com
(サブドメイン).cybozu.cn

ホームページ

※ドメイン名が「cybozu.com」「kintone.com」「cybozu.cn」を対象としております。

サービス紹介ホームページ
製品ホームページ	https://www.cybozu.com
製品ホームページ	https://www.kintone.com
kintone	https://kintone.cybozu.com
Mailwise	https://mailwise.cybozu.com

関連ホームページ
ヘルプサイト	https://help.cybozu.com
	https://help.kintone.com
	https://help.cybozu.cn
cybozu.com 稼働状況	https://status.cybozu.com
cybozu.com 稼働状況	https://status.kintone.com
不具合情報公開サイト	https://support.cybozu.com
Cybozu CDN	https://js.cybozu.com
	https://js.kintone.com
	https://js.cybozu.cn
その他	https://blog.kintone.com

ホームページの脆弱性検証について

ホームページに記載した各サイトについて、脆弱性検証を実施いただくことが可能です。しかし、以下の注意事項に違反した検証の実施、他のお客様のご迷惑になるような行為は行わないでください。ホームページの運営に支障を来たすような場合には、検証実施者の方に事前のご連絡をすることなく、アクセスの遮断等の措置を行う場合があります。

1．負荷検証の禁止

環境に著しい負荷を与える検証手法については、実施しないでください。また、環境に負荷を与えることを目的とした検証は行わないでください。

2. 検証に利用するメールアドレスの指定

弊社ホームページに存在するフォームに対して検証を行う場合、メールアドレスに「pentester@cybozutest.co.jp」を指定してください。

報奨金の計算方法

製品・サービス

9.0 ～ 10.0： × 5万円

7.0 ～ 8.9： × 3万円

0.0 ～ 6.9： × 1万円

特別報酬

脆弱性タイプ

6.9 以下の SQL インジェクション：計算結果 × 3倍

RCE：100万円(一律)

製品タイプ

kintone、cybozu.com 共通管理と設定：計算結果 × 5倍

Garoon、Office、メールワイズ：計算結果 × 2倍

1件の報告から複数の脆弱性が検出された場合の上限は200万円

詳細な報奨金の計算方法や2017年以降に追加された算出方法は「報奨金制度ルールブック」をご覧ください。

CVSS v3 基本値とは？

CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法で、脆弱性の深刻度を、「0.0」から「10.0」までの数値で表現します。詳細はこちら（IPAのサイト）をご覧ください。

ホームページ

1件 × 2万＝報奨金

RCE
1件 × 一律 100万＝報奨金

ホームページの問題はCGIやJavaScriptなどプログラムの脆弱性であってもCVSS v3では評価せず、「件数」単位で報奨金をお支払いします。対象となるホームページは上記「対象となる製品・サービス及びホームページ」をご確認ください。

報奨金の寄付について

報告者は報奨金を獲得する代わりに、獲得した報奨金をサイボウズが指定する OSS コミュニティに寄付することが可能です。報告者が報奨金を寄付することを選択した場合、獲得した金額と同額をサイボウズが上乗せし、OSS コミュニティに寄付いたします。寄付に関する詳細なルールは「報奨金制度ルールブック」をご覧ください。

ご報告

Webフォームでのご報告

脆弱性情報のご報告フォーム

メールでのご報告

email：productsecurity@cybozu.co.jp
以下の内容を記載してください。

【お名前】（お名前を記載してください）
【概要】（どのような問題が発生するかを、簡潔に記載してください）
【脆弱性を確認した環境】（OS・ブラウザなど、再現環境を明確に記載してください）
【再現手順】（詳細な再現手順を記載してください）

問い合わせ

本プログラムは、サイボウズ株式会社 CSIRT（Cy-SIRT）が運営しています。本プログラムにおける全てのお問い合わせは、メールまたはWebフォームにて受け付けます。それ以外の方法によるお問い合わせは受付けません。

Webフォーム
email

productsecurity@cybozu.co.jp

公式Twitterアカウント

毎週更新のランキングや報奨金制度に関する情報を発信しております。

Cybozu BugBounty

制度の詳細

脆弱性検証環境提供プログラムについて

サービス品質の向上にご協力いただける方向けに、脆弱性検証環境提供プログラムを用意しております。

お申込み条件

参加規約にご同意いただけること
日本語または、英語でコミュニケーションできること
サイボウズおよび、サイボウズの子会社の従業員ではないこと
検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。

検証対象サービス・製品一覧

クラウドサービス

脆弱性検証環境提供プログラムでは、本番環境とは回線およびサーバーを物理的に分離したシステムを提供いたします。本番環境への影響を考慮いただくことなく、安全に検証いただくことができます。

cybozu.com 共通管理

cybozu.com 共通管理（サービス本体）

cybozu.com 管理と共通設定の詳細につきましては、「cybozu.com 管理と共通設定ヘルプ」をご覧ください。

セキュアアクセス

セキュアアクセスの詳細につきましては、「ヘルプ：セキュアアクセスの設定」をご覧ください。

サイボウズ Office on cybozu.com

サイボウズ Office クラウド版（サービス本体）

サイボウズ Office の詳細につきましては、以下の「サイボウズ Office ユーザーヘルプ」および、「サイボウズ Office 管理者ヘルプ」をご覧ください。

Garoon on cybozu.com

サイボウズガルーンクラウド版（サービス本体）

サイボウズ Garoon の詳細につきましては、以下の「サイボウズ Garoon ユーザーヘルプ」および、「サイボウズ Garoon 管理者ヘルプ」をご覧ください。

kintone on cybozu.com

kintone（サービス本体）

kintone の詳細につきましては、以下の「kintone 管理者ヘルプ」および、「kintone ユーザーヘルプ」をご覧ください。

kintone API（REST API / Javascript API / User API）

kintone API の詳細につきましては、「cybozu.com developers」をご覧ください。

メールワイズ on cybozu.com

メールワイズクラウド版（本体）

メールワイズの詳細につきましては、以下の「メールワイズユーザーヘルプ」および、「メールワイズシステム管理者マニュアル」をご覧ください。

注意事項

検証環境提供プログラムでは、各サービスは「デバッグ用」の設定で稼働しています。「デバッグ用」の設定で稼働するサービスでは、エラーが発生した場合にエラーの詳細情報が画面に出力されるようになっています。弊社が「デバッグ用途」で利用するエラー画面の情報については、脆弱性の評価対象となりません。
また、環境に負荷を与える検証は実施しないでください。

パッケージ製品

パッケージ版の検証を行う環境は、参加者のご自身で構築いただく必要があります。より詳細な検証を行うことを希望される参加者の方には、検証用のライセンスをご提供いたします。詳細はCy-SIRT事務局（pentest@cybozu.co.jp）までお問い合わせください。

サイボウズ Office 10
サイボウズガルーン 4
サイボウズメールワイズ 5
リモートサービス
KUNAI

お申し込み・お問い合わせ

ハッシュタグ

#cypentest
お問い合わせ先

Cy-SIRT事務局　pentest@cybozu.co.jp

検証環境提供プログラムへのお申し込み