脆弱性報奨金制度
サイボウズ脆弱性報奨金制度
サイボウズが提供するサービスに存在する弊社にとって未知の脆弱性を早期に発見し改修することを目的とする制度です。
対象製品の脆弱性を発見し、ご報告いただいた方に謝礼として報奨金をお支払いします。報奨金は1件あたり上限2,000,000円です。
開催概要
参加方法と脆弱性のご報告
報奨金制度に参加したい場合は、報告用サイト経由でご報告ください。
報告用サイトで報告するには「アカウントの申し込み」が必要です。報告用サイト以外からのご連絡は報奨金のお支払い対象外となりますので、あらかじめご了承ください。脆弱性情報のご連絡は「脆弱性のご連絡」ページをご確認ください。
-
脆弱性検証環境提供プログラムお申し込み
※必要に応じて -
検証
-
ご報告
-
評価
-
お支払い
参加条件
以下の条件を満たした方は、どなたでも参加いただけます。
- 報告時においてサイボウズまたはサイボウズの子会社の従業員ではないこと
- 報告時において業務委託契約、出向契約、派遣契約等の契約形態により、サイボウズまたはサイボウズの子会社の業務に従事していないこと
- 報告日の過去1年間 にサイボウズまたはサイボウズの子会社において正社員として雇用されていないこと
- 報告日の過去1年間 にサイボウズまたはサイボウズの子会社において製品開発及びクラウドサービスの運用関連業務に従事していないこと
- 日本語または英語でCy-PSIRTとコミュニケーションできること
- 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。
- 規約 に同意いただけること
制限・禁止事項
下記の項目に反した検証の実施を検出した場合、その他適切な運用に支障が出ると弊社が判断した場合、検証実施者の方に事前のご連絡をすることなくアクセスの遮断等の措置を行い、今後の制度への参加を制限させていただく場合があります。詳細は 規約 の第6条 「制限・禁止事項」をご参照ください。
1.報奨金制度対象外の場所における検証の禁止
実際にお客様へ提供している環境*への脆弱性検証は禁止されています。
クラウド製品への脆弱性検証は(サブドメイン).cybozu-dev.comのみ実施可能です。脆弱性検証環境提供プログラムをご利用ください。
*「対象となる製品・サービスおよびWebサイト」に記載されていない製品やWebサイト、ドメイン
2. 検証を禁止している機能
cybozu.com 共通管理のお問い合わせ機能に対する脆弱性検証は実施いただけません。
3. 負荷検証の禁止
環境に著しい負荷を与える検証は実施いただけません。
脆弱性検証環境提供プログラムについて
実際にお客様へ提供している環境に影響を与えないことを目的として、回線およびサーバーを物理的に分離した検証用の環境を提供しております。
詳しくは以下のページをご参照ください。
対象となる製品・サービスおよびWebサイト
製品・サービス
それぞれの製品の利用方法はヘルプからご確認ください。
| クラウドサービス | |
|---|---|
| クラウド版サイボウズOffice | 対象URL:https://[subdomain].cybozu-dev.com/o/* |
| クラウド版Garoon | 対象URL:https://[subdomain].cybozu-dev.com/g/* |
| kintone(本体) | 対象URL:https://[subdomain].cybozu-dev.com/k/* |
| クラウド版メールワイズ | 対象URL:https://[subdomain].cybozu-dev.com/m/* |
| cybozu.com 共通管理 | 対象URL:上記以外のhttps://[subdomain].cybozu-dev.com/* お問い合わせ機能は除く |
※「対象URL」に記載されたURLから対象サービスへアクセス可能です。
※ https://*.cybozu.com でお客様に実際に提供している環境に関する検証は禁止しています。
※上記URLから対象サービスをダウンロード可能です。
| 周辺サービス | |
|---|---|
| Garoon API | https://cybozu.dev/ja/garoon/docs/overview/ |
| kintone API(REST API / JavaScript API) | https://cybozu.dev/ja/kintone/docs/ |
| User API | https://cybozu.dev/ja/common/docs/user-api/ |
| kintone アプリストア | https://kintone-sol.cybozu.co.jp/apps/ |
| サービス紹介Webサイト | |
|---|---|
| 製品Webサイト | https://www.cybozu.com |
| ログイン方法 | https://cybozu.co.jp/customer/howtologin/ |
| さわってみよう! kintoneアプリ作成画面 | https://kintone.cybozu.co.jp/try-kintone-app-builder/ |
プライベートプログラムについて
一部の参加者に対し、通常の報奨金制度とは異なる条件や限定製品への検証を許可するプライベートプログラムへ招待させて頂く場合があります。
詳細は対象の参加者にのみ個別にご連絡いたします。
対象の参加者以外には開示いたしませんので、あらかじめご了承ください。
対象ではない製品・サービスおよびWebサイト
「対象となる製品・サービスおよびWebサイト」に含まれないものは全て対象外となります。
| 製品・サービスおよびWebサイト | |
|---|---|
| パッケージ版製品 | サイボウズGaroon https://garoon.cybozu.co.jp/support/package/download/ サイボウズ Office https://office.cybozu.co.jp/trial/download/ サイボウズ メールワイズ https://mailwise.cybozu.co.jp/exist/package/ |
| Kintone.com向けWebサイト | https:// *.kintone.com |
| 製品に影響を及ぼさないWebサイト | 下記を除く「https:// *.cybozu.co.jp」 ・「ログイン方法」 ・「さわってみよう! kintoneアプリ作成画面」 |
報奨金
脆弱性の種別によって報奨金額を算出します。
詳細は「報奨金制度ルールブック」をご覧ください。
なお、報告者が獲得した報奨金額は、ご本人様以外には開示いたしません。
製品・サービス
| 脆弱性種別 |
kintone(*1) cybozu.com 共通管理(*1) kintone アプリストア |
Garoon(*1) メールワイズ Office |
|---|---|---|
| RCE | 200 万円(固定) | 200 万円(固定) |
| SQLインジェクション | 40 ~ 160 万円 | 10 ~ 100 万円 |
| XSS | 10 ~ 40 万円 | 5 ~ 20 万円 |
| アクセス制御の不備 | 20 ~ 80 万円 | 5 ~ 40 万円 |
| モバイルアプリ特有の脆弱性 |
1 ~ 200 万円 (対象:kintone モバイル) |
1 ~ 200 万円 (対象:サイボウズ Office モバイル、クラウド版 Garoon モバイル) |
| その他 | 1 ~ 200 万円 | 1 ~ 200 万円 |
(*1)各製品が提供するAPIを含む
弊社脆弱性報奨金制度における脆弱性情報の認定可否の詳細は「脆弱性認定ガイドライン」をご覧ください。
Webサイト
RCE:100万円(固定)
その他:2万円(固定)
Webサイトの問題はCGIやJavaScriptなどプログラムの脆弱性であっても、「件数」単位で報奨金をお支払いします。対象となるWebサイトは上記「対象となる製品・サービスおよびWebサイト」をご確認ください。
制度の詳細
問い合わせ
よくある質問と答え(FAQ)
よく寄せられるご質問とその答えを公開しています。お問い合わせの前にぜひご参照ください。
FAQ問い合わせ
報奨金制度に関する質問・要望などのお問い合わせは報告用サイトからお問い合わせいただけます。
アカウントをお持ちでない方は「脆弱性報告を除くお問い合わせフォーム」にてお問い合わせください。
