脆弱性報奨金制度

サイボウズ脆弱性報奨金制度

2014年6月、脆弱性報奨金制度がスタートしました。弊社パッケージ製品・クラウドサービスの脆弱性を発見し報告いただいた方に謝礼として報奨金をお支払いします。報奨金は1件あたり1,000円から最大300,000円(1件の報告から複数の脆弱性が検出された場合の金額上限は1,000,000円)です。本番環境への影響を考慮いただくことなく、安全に検証いただくため、「脆弱性検証環境提供プログラム」を用意しました。脆弱性を発見した方のご報告はこちらから お願いします。

開催概要

開催目的

脆弱性報奨金制度は、サイボウズが提供するサービスに存在するゼロデイ脆弱性を早期に発見し改修することを目的とする制度です。


実施期間

2016年2月1日(月)〜 2016年12月26日(月)
※約1年の実施期間を経て、制度の見直しを行います。


参加条件

以下の条件を満たした方は、どなたでも参加いただけます。

  • サイボウズ株式会社社員および、関連会社社員ではないこと
  • 日本語または、英語で Cy-SIRT とコミュニケーションできること
  • 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。
  • 規約 に同意いただけること

ご参加の流れ

  1. 脆弱性検証環境提供プログラムお申し込み
    ※必要に応じて
  2. 検証
  3. ご報告
  4. 審査
  5. お支払

脆弱性検証環境提供プログラムについて

サービス品質の向上にご協力いただける方向けに、脆弱性検証環境提供プログラムを用意しております。


お申込み条件

  • 参加規約にご同意いただけること
  • 日本語または、英語でコミュニケーションできること
  • サイボウズ株式会社社員および、関連会社社員ではないこと
  • 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。

検証対象サービス・製品一覧

クラウドサービス

脆弱性検証環境提供プログラムでは、本番環境とは回線およびサーバーを物理的に分離したシステムを提供いたします。本番環境への影響を考慮いただくことなく、安全に検証いただくことができます。

注意事項

検証環境提供プログラムでは、各サービスは「デバッグ用」の設定で稼働しています。「デバッグ用」の設定で稼働するサービスでは、エラーが発生した場合にエラーの詳細情報が画面に出力されるようになっています。弊社が「デバッグ用途」で利用するエラー画面の情報については、脆弱性の評価対象となりません。

パッケージ製品

パッケージ版の検証を行う環境は、参加者のご自身で構築いただく必要があります。より詳細な検証を行うことを希望される参加者の方には、検証用のライセンスをご提供いたします。詳細はCy-SIRT事務局(pentest@cybozu.co.jp)までお問い合わせください。

  • サイボウズ Office 10
  • サイボウズ ガルーン 3
  • サイボウズ メールワイズ 5
  • リモートサービス
  • KUNAI

お申し込み・お問い合わせ

検証環境提供プログラムへのお申し込み

対象となる製品・サービス及びホームページ

製品・サービス

クラウドサービス
  • cybozu.com 管理と共通設定
  • サイボウズ Office クラウド版
  • Garoon on cybozu.com
  • kintone(サービス本体)
  • メールワイズ on cybozu.com
  • セキュアアクセス
  • cybozu.com Store
  • サイボウズLive
  • cybozu.com 運用基盤
パッケージ製品
  • サイボウズ Office 10
  • サイボウズ メールワイズ 5
  • サイボウズガルーン 4
  • サイボウズ 全文検索サーバー バージョン 2.0
モバイルサービス
  • サイボウズ KUNAI
  • サイボウズ リモートサービス
  • kintone android アプリ
  • kintone iPhone アプリ
  • サイボウズ office 新着通知
  • サイボウズ Live Timeline
周辺サービス
  • Garoon API
  • kintone API(REST API / JavaScript API)
  • User API
  • kintone アプリストア
  • サイボウズ Desktop(Win 版、Mac 版)

ホームページ

サービス紹介ホームページ
製品ホームページ https://www.cybozu.com
https://www.kintone.com
kintone https://kintone.cybozu.com
Mailwise https://mailwise.cybozu.com
関連ホームページ
ヘルプサイト https://help.cybozu.com
https://help.kintone.com
https://help.cybozu.cn
cybozu.com 稼働状況 https://status.cybozu.com
https://status.kintone.com
不具合情報公開サイト https://support.cybozu.com
Cybozu CDN https://js.cybozu.com
https://js.kintone.com
https://js.cybozu.cn
ホームページの脆弱性検証について

ホームページ に記載した各サイトについて、脆弱性検証を実施いただくことが可能です。以下の注意事項に違反した検証の実施、他のお客様のご迷惑になる検証を実施することはお控えください。ホームページの運営に支障を来たすような場合には、検証実施者の方に事前のご連絡をすることなく、アクセスの遮断等の措置を行う場合があります。

1.負荷検証の禁止

環境に著しい負荷を与える検証手法については、実施をご遠慮ください。また、環境に負荷を与えることを目的とした検証は行わないでください。

2. 検証に利用するメールアドレスの指定

弊社ホームページに存在するフォームに対して検証を行う場合、 メールアドレスに「pentester@cybozutest.co.jp」を指定してください。

報奨金の計算方法

製品・サービス

CVSS v3 の基本値「9.0〜10」× 単価「5万円」= 45万〜50万

CVSS v3 の基本値「7.0〜8.9」× 単価「3万円」= 21万〜26.7万

CVSS v3 の基本値「0.0〜6.9」× 単価「1万円」= 〜6.9万

1件の報告から複数の脆弱性が検出された場合の上限は100万円

詳細な報奨金の計算方法や2016年以降に追加された算出方法は「報奨金獲得に関するガイドライン」をご覧ください。

CVSS v3 基本値とは?

CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法で、脆弱性の深刻度を、「0.0」から「10.0」までの数値で表現します。詳細はこちら(IPAのサイト) をご覧ください。


ホームページ

1件 × 1万 = 報奨金

ホームページの問題はCGIやJavaScriptなどプログラムの脆弱性であってもCVSS v2では評価せず、「件数」単位で報奨金をお支払いします。対象となるホームページは上記「対象となる製品・サービス及びホームページ」をご確認ください。

報奨金の寄付について

報告者は報奨金を獲得する代わりに、獲得した報奨金をサイボウズが指定する OSS コミュニティに寄付することが可能です。報告者が報奨金を寄付することを選択した場合、獲得した金額と同額をサイボウズが上乗せし、OSS コミュニティに寄付いたします。寄付に関する詳細なルールは「報奨金獲得に関するガイドライン」をご覧ください。

ご報告

Webフォームでのご報告

脆弱性情報のご報告フォーム

メールでのご報告

email:productsecurity@cybozu.co.jp
以下の内容を記載してください。

  • 【お名前】(お名前を記載してください)
  • 【概要】(どのような問題が発生するかを、簡潔に記載してください)
  • 【脆弱性を確認した環境】(OS・ブラウザなど、再現環境を明確に記載してください)
  • 【再現手順】(詳細な再現手順を記載してください)

問い合わせ

本プログラムは、サイボウズ株式会社 CSIRT(Cy-SIRT)が運営しています。本プログラムにおける全てのお問い合わせは、メールまたはWebフォームにて受け付けます。それ以外の方法によるお問い合わせは受付けません。

制度の詳細