脆弱性開示ポリシー
はじめに
Ivantiでは、エンタープライズソフトウェア製品のセキュリティと整合性を確保することに専念しています。セキュリティ研究者、倫理的ハッカー、およびより広範なセキュリティコミュニティが、脆弱性の特定と報告において果たす重要な役割を認識しています。本脆弱性開示ポリシーでは、セキュリティ研究者と協力して取り組む当社のソフトウェアセキュリティを向上させるための取り組みについて概説するものです。脆弱性を報告する手順のほか、弊社の期待、ならびにお客さまが弊社に期待できることについて概説しています。
Ivantiが買収した企業 (Pulse Secure、Cherwell、MobileIronなど)の製品に関連するものを含め、Ivantiの製品またはソリューションに関連するセキュリティ関連の問題に遭遇した場合、またはIvantiのインフラストラクチャに関連するセキュリティ上の発見があった場合は、「報告チャネル」に記載されているいずれかのチャンネルを通じてご報告ください。ユーザー各位からの貴重なご意見やご体験は、当社製品のセキュリティ、ならびにインフラストラクチャにおけるインテグリティの保証に貢献します。 皆様の注意深い目とご貢献は、弊社製品のセキュリティを保護し、弊社インフラの完全性を維持する上で非常に重要です。Ivantiのセキュリティ強化にご協力いただき、誠にありがとうございます。
範囲
範囲内
脆弱性開示ポリシーは、Ivantiの製品とサービス、IvantiのITおよびOTインフラストラクチャ (システムとネットワークを含む) を含む、Ivanti内で所有、運用、または維持されるあらゆるデジタル資産に適用されます。
範囲外
以下の種類の攻撃は、当社の脆弱性開示プログラムの対象の一部とはみなされません:
- DoS攻撃(Denial of Service attack/サービス拒否攻撃)、サービス拒否を引き起こすエクスプロイト、またはサービス中断につながる可能性のあるIvanti CorporateならびにIvanti Hosted Solutionsに対する「レジリエンステスト」
- Ivantiオフィス、データセンター、コロケーション施設にまつわる物理的なテスト
- 当社の従業員、お客さま、パートナーなどのソーシャルエンジニアリング
- テストの事前承認なしに、お客さまが独自のネットワーク内でホストしているIvanti製品またはソリューションに対する攻撃やイベント
- 自動スキャナーの結果
脆弱性報酬
この脆弱性開示プログラムに加え、Ivantiは、HackerOne上で一部のIvanti製品を対象とした特別なバグ報奨金プログラムを適用しています。この特別プログラムは招待制であり、セキュリティ研究者にIvanti製品をホストする専用環境へのアクセスを許可します。
脆弱性レポートが Ivanti のバグ報奨金プログラムの範囲内の製品に影響を与える場合、レポートは Ivanti のバグ報奨金プログラムに移され、報奨金を受け取る可能性があります。 詳細については、https://hackerone.com/ivantiをご覧ください
Ivantiは、独自の裁量に基づいて提出された報告を評価し、報奨金の対象とする排他的権利を留保します。
レポートチャネル
Ivantiのエンタープライズソフトウェア製品またはサービスにセキュリティの脆弱性が発見された場合には、次のいずれかの方法で、責任ある協調的な方法でご報告いただくことを推奨します。
1. 使いやすい 脆弱性レポート送信フォーム
2. 電子メール [email protected]へ送信ください。レポートには、次の情報をご記載ください。
- 脆弱性の詳細な説明
- 概念実証 [PoC] (該当する場合)
- 脆弱性を再現するプロセス
- 影響を受ける製品またはサービスとそのバージョンに関する情報
- お客さまのお名前、メールアドレス、その他連絡先を含めた連絡先情報の詳細
通信の暗号化をご希望の際には、こちらから PGPキーを使用してください (フィンガープリント: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D)。
3. 一般的なセキュリティ関連のお問い合わせは、こちらまで [email protected] ご連絡ください。
脆弱性報告の取り扱い手順
- ご報告いただいた内容については、VDP/バグ報奨金パートナーであるHackerOneが迅速に対応し、ご報告内容の理解と検証に努めます。
- Ivantiのセキュリティチームは、報告を受けてから10営業日以内に脆弱性の検証に取り組みます。
- 脆弱性が確認されると、Ivantiはその深刻度に基づいて解決の優先順位を決定します。報告者には、修復プロセスの状況について定期的に最新情報を提供します。
- Ivanti は、Ivanti 社内評価プロセスによって計算、検証された通り、CVSS スコア 4.0 以上を用いて脆弱性に向けた CVE を保有、公開します。
- Ivantiは、報告された脆弱性に誠意をもって対処し、緩和することを約束します。必要に応じて、報告者に意見や支援を求めることがあります。
- Ivantiは、特定の種類のセキュリティ脆弱性を取り扱うための、より具体的な手順を随時承認し、利用可能にすることがあります。それらの追加的な手順は、本脆弱性開示プログラムの延長線上にあります。
行動規範
- 本ポリシーおよびその他の関連する規約に従うことを含め、ルールに従って行動すること。本ポリシーとその他の適用される規約の間に矛盾がある場合は、本ポリシーの規約が優先されます。
- 脆弱性を発見した場合は、すぐに報告してください。
- 他者のプライバシーの侵害、システムの混乱、データの破壊、ユーザー エクスペリエンスへの損害を避けてください。
- 脆弱性にまつわる情報交換には、「公式チャネル」のみをご利用ください。
- 問題を公にする前に、その問題を解決するための合理的な時間(最初の報告から少なくとも120日)を当社に提供してください。
- 脆弱性によりデータへの意図しないアクセスが発生する場合: 概念実証を効果的に実証するために、アクセスするデータの量を必要最小限に制限します。また、テスト中に個人識別情報 (PII)、個人医療情報 (PHI)、クレジット カード データ、または機密情報などのユーザー データに遭遇した場合は、テストを中止し、直ちに報告書を提出してください。
- ご自身で所有するテストアカウント、またはアカウント所有者から明示的な許可がある場合のみに行ってください。
- 恐喝に関与しないよう留意してください。
リーガル・セーフハーバー
セキュリティ脆弱性の研究と責任ある開示を奨励するため、Ivanti は、この脆弱性開示プログラムに従ってセキュリティ脆弱性を遵守し、報告するよう誠実に努力するセキュリティ研究者に対して法的措置を講じません。
お客様のセキュリティ調査に第三者 (当社ではない) のネットワーク、システム、情報、アプリケーション、製品、またはサービスが関与している場合、当社はその第三者を拘束することはできず、第三者が法的措置を講じたり、法執行機関に通報したりする可能性があることをご理解ください。当社は、他の団体の名においてセキュリティ調査を許可することはできませんし、許可することもありません。また、お客様の行為に基づく第三者の行為からお客様を防御、補償、その他の方法で保護することをいかなる形でも提案することはできません。
お客さまには、適用されるすべての法律を遵守し、当社の脆弱性開示プログラムが許可する範囲を超えて、いかなるデータも破壊したり侵害したりしないことが期待されます。
本ポリシーと矛盾する、または本ポリシーで対処されない可能性のある行為を行う前に、当社までご連絡ください。当社は、利用者が本脆弱性開示プログラムに従ってセキュリティ脆弱性を遵守し報告するために誠実に努力したかどうかを判断する唯一の権利を留保し、いかなる行為に従事する前にも当社に積極的に連絡することは、その判断の重要な要素となります。迷った際には、まずご一報ください。
脆弱性レポート送信フォーム
脆弱性レポート提出フォーム (powered by HackerOne) は、以下の通りです。フォームを使用する際には、「Cookieを有効にする」をクリックしてサードパーティCookieを受け入れる必要があります。このフォームは こちらからもご利用いただけます。
バージョン 2.0 (2024年3月)。 脆弱性開示ポリシーはダウンロードすることができます。