脆弱性の開示
このページの情報は、セキュリティ脆弱性をZscalerのセキュリティ チームに責任を持って報告することに関心のあるセキュリティ研究者を対象としています。
脆弱性開示プログラム
最終更新日:2022年9月21日
はじめに
セキュリティには変革が必要です。そして、セキュリティ プログラムの変革にはユーザーの協力が不可欠です。ユーザーからのサポートとセキュリティ コミュニティーとの協同に対する強い信念こそが、Zscalerのすべてのユーザーに安全な環境を提供し続けるための鍵となります。
Zscalerの製品、サービス、アプリケーションにセキュリティ脆弱性を見つけたと思われる場合は、できる限り早急にZscalerにお知らせください。また、問題が解決するまでご報告いただいた内容の公開はお控えください。
Zscalerは報告内容を適時確認し、対応するよう努めます。Zscalerのバグ バウンティー(報奨金制度)パートナーであるBugcrowdは、最初にお客様と連携して報告内容のトリアージを実施します。Zscalerは、お客様が(1)ここに記載されたポリシーを遵守し、(2) Bugcrowdの標準開示条件を遵守し、(3)ユーザーの安全性やプライバシーを侵害せず、(4)問題の解決後に調査の一環としてZscalerから収集した機密データを破棄せず、(5)以下のZscalerの機密保持条件に同意して遵守する限り、セキュリティ問題を特定したことを理由に、司法機関または法執行機関の救済をお客様に対して求めることはありません。
機密保持
本プログラムに関与、参加し、Zscalerにセキュリティ脆弱性を提出することで、お客様は以下の機密保持規定を遵守することに同意したものとみなされます。
「機密情報」とは、(i)セキュリティ テストの実施中またはZscaler脆弱性開示プログラムへの参加を通じて入手したすべてのZscalerの情報、(ii) Bugcrowd Bounty Briefに関連してお客様に開示されたすべての情報、(iii)お客様が提出したすべての情報を意味します。お客様は、テストへの関与またはZscaler脆弱性開示プログラムへの参加によって、Zscalerの機密情報や知的財産に関するいかなる権利も付与されないものとします。
機密情報には、(i)お客様に過失はなく、本規定に違反することなく公に知り得た情報、(ii)機密情報を使用または参照することなく独自に開発された情報、(iii)機密保持制限に拘束されない情報源からお客様が入手した情報は含まれません。
テストに参加したり、調査結果を提出したりする前に、お客様は、(i)機密情報を厳重に保管し、(ii)当該機密情報を不正使用または開示から保護し、(iii)当該機密情報を公衆を含む第三者に開示せず、(iv)当該機密情報をZscalerの脆弱性開示プログラムへの参加の範囲外の目的に使用せず、(v)機密情報の損失または不正開示を発見した場合は直ちにZscalerに通知することに同意したものとみなされます。上記にかかわらず、お客様はZscalerの機密情報をZscalerまたはBugcrowdのパートナー ポータル経由でBugcrowdに開示することができます。
ご協力のほど、よろしくお願いいたします。
脆弱性プログラムの対象と規定
対象
Zscalerでは、主に以下の脆弱性に関する報告を募集しています。
- 機密データの漏洩—蓄積型クロスサイト スクリプティング(XSS)、SQLインジェクション(SQLi)など
- 認証またはセッションの管理に関する問題
- リモート コード実行
- 特に巧妙な脆弱性や明確なカテゴリーに分類されない独自性の高い問題—対処法に関する情報をお持ちの場合は、あわせてご提示ください。
対象外
次の脆弱性カテゴリーは開示プログラムの範囲外となるため、含めないようお願いいたします。
- サービス拒否(DoS)—ネットワーク トラフィック、リソースの枯渇、その他の方法によるもの
- ユーザー列挙
- 古いブラウザーやプラグイン、サポートを終了したソフトウェア ブラウザーのみで起こる問題
- Zscalerの従業員、ユーザー、クライアントのフィッシングまたはソーシャル エンジニアリング
- Zscalerが使用するサードパーティー技術に関連するシステムや問題
- 既知の公開ファイルの開示や重大なリスクには相当しないその他の情報の開示(例:robots.txt)
- ユーザーのコンピューターが最初に侵害されたことに起因する攻撃または脆弱性
お客様には、責任ある方法でセキュリティ調査にあたっていただくことが期待されます。例えば、パスワードやキーが外部に公開されているのを発見した場合、それらを使用してアクセスできる範囲をテストしたり、有効であることを証明するためにデータをダウンロードしたり、流出させたりすべきではありません。同様に、SQLインジェクションの成功が確認できた場合、概念実証の証明に必要な初期段階の手順を超えて、その脆弱性を悪用しないことが求められます。
Zscalerのデータの過度な持ち出しやダウンロード、またはZscalerのデータの破壊と引き換えにした支払いの要求は、本プログラムの範囲外とみなされ、Zscalerは自社とそのユーザーの安全性を維持するためにすべての権利、救済措置、行動を留保するものとします。
脆弱性の報告に対する報酬
お客様の脆弱性レポートが範囲内の製品またはサービスに影響する場合、報奨金を受け取ることができます。Bugcrowdの研究者である場合は、以下のフォームから申請することで賞賛ポイントを獲得できます。Zscalerのプライベート プログラムのセキュリティ研究者として積極的にご協力いただける場合は、その旨と理由を添えて[email protected]までご連絡ください。
Zscalerは自らの裁量により、報奨金の対象となる報告を決定します。
セキュリティ脆弱性の報告
Bugcrowdパートナー ポータルを通じてZscalerにセキュリティ脆弱性を報告する場合は、こちらのフォームをご利用ください。Zscalerは通常、CVSSスコアに基づいて脆弱性のスコアを決定します。