脆弱性開示ポリシー

Introduction
Scope
Vulnerability Rewards
Reporting Channels
Vulnerability Report Handling Procedure
Codes of Conduct
Legal Safe Harbour
Vulnerability Report Submission Form

イントロダクション

イヴァンティでは、エンタープライズソフトウェア製品のセキュリティとインテグリティの保証に特化しています。セキュリティ開発者、倫理的なハッカー、より一般的なセキュリティコミュニティは、脆弱性の特定ならびに報告において重要な役割を果たしています。本脆弱性開示ポリシーでは、セキュリティ開発者との協力のもとで当社ソフトウェアセキュリティを向上させるにあたって、実際に行われている取り組みについて概説しています。脆弱性を報告する手順のほか、弊社の期待、ならびにお客さまから寄せられている期待について説明しています。

イヴァンティ傘下企業 (Pulse Secure、Cherwell、MobileIronなど)の製品を含めたイヴァンティ製品/ソリューションにおいてセキュリティの問題が発生した場合、ならびに「イヴァンティのインフラストラクチャセキュリティで発見が見られた際には、「報告チャネル」のいずれかのチャンネルを介してご報告ください。ユーザー各位からの貴重なご意見やご体験は、当社製品のセキュリティ、ならびにインフラストラクチャにおけるインテグリティの保証に貢献します。イヴァンティのセキュリティ構築の一端を成す皆さまからのご協力に感謝の意を表します。弊社による取り組みにご協力いただき誠にありがとうございます。

対象範囲

対象範囲内

この脆弱性開示ポリシーは、イヴァンティの製品/サービス、 IT/OTインフラストラクチャ (システムとネットワークを含む)において構築され、イヴァンティ社によって所有、運用、ないしは維持されている任意のデジタル資産に適用されるものとします。

対象範囲外

次に挙げられる攻撃は、当社の脆弱性開示プログラムの対象とはみなされません：

リソース枯渇攻撃等に見られるサービス拒否攻撃、サービス拒否を引き起こすエクスプロイト、イヴァンティ社ならびにイヴァンティがホストするソリューションにサービス中断を引き起こしうるあらゆる形態のレジリエンステスト。
イヴァンティオフィス、データセンター、コロケーション施設にまつわる物理的なテスト。
弊社社員、カスタマー、パートナーにおけるソーシャルエンジニアリング。
事前にテストに対する承認を行うことなく、カスタマー各位が自社ネットワーク内でホストしているイヴァンティ製品/ソリューションに対して受けた攻撃ないしは出来事。
自動スキャナーからの結果

脆弱性に対するリワード

イヴァンティでは、この脆弱性開示プログラムに加え、HackerOne上で一部弊社製品にバグバウンティプログラムを適用しています。この特別プログラムは招待制で適用され、セキュリティ開発者にイヴァンティ製品をホストする環境へのアクセスを許可します。

御社による脆弱性レポートが、イヴァンティのカバーするバグバウンティプログラム製品に関する場合、当該のレポートがイヴァンティのバグバウンディプログラムに報告され、報奨金支給の対象となります。詳細は次をご覧ください： https://hackerone.com/ivanti https://hackerone.com/ivanti

独自の裁量に基づくイヴァンティが、提出された報告を独占的に評価し、報奨金の対象いかんを決定する権利を留保します。

報告チャネル

イヴァンティ社のエンタープライズソフトウェア製品/サービスのセキュリティに脆弱性が見出された場合には、次のいずれかの手段を介して、責任性のある協力的なアプローチでご報告ください。

1. 手軽な脆弱性レポート送信フォーム。

2. メール送信 [email protected]。ご報告には、次の内容が含まれていなければなりません。

脆弱性にまつわるくわしい説明。
適応可能な場合においては、概念実証。
脆弱性を再現したプロセス。
影響を受ける製品/サービス、ならびにバージョンにまつわる情報。
お客さまのお名前、メールアドレス、その他連絡先詳細を含めた連絡先情報。

通信内容の暗号化をご希望の際には、こちらから PGPキーを使用してください (フィンガープリント: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D)。

3. 一般的なセキュリティ関連のお問い合わせは、こちらまでお寄せください[email protected].

脆弱性報告を行う際の手順

ご報告いただくと、イヴァンティのVDP/バグバウンティパートナーHackerOneが迅速に対応し、お客さまの報告を把握したうえで検証します。
イヴァンティのセキュリティチームによって、脆弱性報告の受信から10営業日以内に検証が実施されます。
ひとたび脆弱性が確定されると、イヴァンティがその重大性に基づいて解決法に優先順位を割り当てます。報告いただいたお客さまに向けて、修復プロセスの最新ステータスが定期的に供給されます。
イヴァンティは、誠意に基づいてご報告いただいた脆弱性に対処し、その低減に努めます。必要が生じた際には、ご報告いただいたお客さまのご意見やご協力が求められることがあります。
イヴァンティでは、ある種のセキュリティ脆弱性処理にまつわるさらに特定的なプロセスを承認し、ご利用いただけるようにすることもあります。これらの追加的なプロセスは、本脆弱性開示プログラムのエクステンションとみなされます。

行動規範

本ポリシー、その他関連的な合意を含め、あらゆる規則に準じた報告を心がけてください。本ポリシーと本ポリシー外で規定された内容に相違が見られる場合には、本ポリシーの規定が適用されるものとします。
万が一脆弱性が観察された際には迅速にご報告ください。
他者のプライバシーの侵害や、当社システムにおける弊害、データ破壊、ユーザーエクスペリエンスの阻害を回避しなければなりません。
脆弱性にまつわる情報交換には、「公式チャネル」のみをご利用ください。
問題を一般公開する際には、弊社が問題を解決するのに要される妥当な猶予期間 (最初の報告から120日以上) を待って行うものとします。
脆弱性に起因し、データへの意図しないアクセスが生じた場合: 概念実証を効果的に行うために、アクセス可能なデータ量を必要最小限に制限します。テスト中に、個人識別情報 (PII)や個人医療情報 (PHI)、クレジットカード情報、その他の機密情報といったユーザー情報が見い出された際には、テストを中断のうえで、迅速にご報告ください。
ご自身で所有するテストアカウント、またはアカウント所有者から明示的な許可を得た場合に限って行ってください。
恐喝に関与しないよう留意してください。

合法的なセーフハーバー

セキュリティ脆弱性にまつわるリサーチならびに責任ある開示を促すためにも、イヴァンティでは、本脆弱性開示プログラムに準じてセキュリティ脆弱性を遵守し、誠実に報告を行ったセキュリティリサーチャーに対する法的措置を講じません。

お客さまのセキュリティリサーチに第三者 (弊社ではない) ネットワークやシステム、情報、アプリケーション、製品、サービスが関与している場合には、弊社は当該の第三者を拘束できかね、この第三者によって法的措置を講じられたり、法制当局に通報されることが考えられます。弊社は、他組織の名のもとでセキュリティリサーチを実行したり許可したりする権限を有しません。また、お客さまの行為に起因した第三者からの行為に対するお客さまの擁護や補償、その他のあらゆる形態における保護もできかねます。

お客さまに置かれましては、常に適用可能なあらゆる法律を遵守し、弊社の脆弱性開示プログラムで認められた範囲を超えたデータの破壊や侵害を行わないよう留意してください。

当ポリシーの規定に矛盾したり、ポリシー内では触れられていないアクションを行う際には、事前に弊社にご連絡ください。弊社のみが、この脆弱性開示プログラムに準じたうえでお客さまがセキュリティ脆弱性を遵守し、誠実に報告を行ったか否かを判断する権限を有します。したがって、お客さまによるあらゆるアクションにさきがけて弊社にご連絡いただくことが、この判断における重要な要素となります。懸念が抱かれる場合には、まずご一報ください。

脆弱性報告送信フォーム

下より脆弱性報告送信フォーム (HackerOne援用) をご利用いただけます。フォームを使用する際には、「Cookieを有効にする」をクリックしてサードパーティCookieを受け入れてください。このフォームはこちらからもご利用いただけます。

バージョン 2.0 (2024年3月)。脆弱性開示ポリシーはダウンロードすることができます。