脆弱性情報への対応ガイドライン

本ガイドラインの適用範囲

・OKIPPAアプリ

セキュリティ脆弱性の報告方法

OKIPPAアプリのセキュリティ脆弱性を発見したと思われる場合は、以下の方法でご報告ください。
お問い合わせフォーム もしくは
OKIPPAアプリ内のマイページ → お問い合わせ・盗難報告 → その他お問い合わせ

報告事項

ご報告いただく際には、脆弱性の確認・評価を迅速に進めるため、お手数をおかけいたしますが、以下の各情報も併せてお教えください。
・脆弱性の概要説明
・脆弱性を確認した日時（おおよそで結構です）
・脆弱性を確認した環境（OS、ブラウザ、バージョン、機種名など）
・脆弱性の再現手順
・報告者様のご連絡先電子メールアドレス

ご報告いただいた後の対応方法等

・当社は、報告者様よりガイドライン提示の方法で当社窓口にご報告頂いた場合、3営業日以内に当該ご報告に対する受付連絡を行います。
・受付連絡後、当社内にてご報告頂いた脆弱性の確認・評価を行います。また、脆弱性が確認出来た場合、当社は脆弱性のタイプ、重大度、影響を受ける製品またはサービスに応じて、問題の修正策もしくは緩和策を提供できるよう、対応を進めます。
・報告者様は当社が発行する受付番号で当社窓口にお問い合わせ頂くことによって、届出の追跡をすることが出来ます。
なお、進捗状況等についての詳細をお問い合わせいただいた際に、ご回答できかねる場合がありますこと、予めご了承ください。
・ご報告いただいた脆弱性が確認出来ない場合、または、ご報告いただいた脆弱性が解決出来た場合には、当社から報告者様にご連絡を致します。
・ご報告いただいた脆弱性が確認出来たが、他社ソフトウェア・サービスやオープンソースソフトウェア等の脆弱性であると判断した場合、当社は該当するベンダーが脆弱性の解消に向けた行動を取ることに向けた努力をおこないます。
またその場合は、当該ベンダーとの守秘義務等を考慮し、可能な範囲で報告者様に状況をご連絡致します。
・当社は脆弱性の対応が完了するまで脆弱性情報の公開を行いません。なお、対応中に情報漏洩がないよう配慮致します。

報告者様への依頼事項

・ご報告頂いた事項について当社で確認・評価するために追加の情報が必要になるなど、ご協力をお願いする場合がございます。その場合には、可能な範囲で情報提供にご協力いただけますと幸甚です。
・報告者様におかれましては、脆弱性の対応が完了するまで脆弱性情報の公開をしないよう、お願い致します。

禁止行為

以下の場合などは、本ガイドラインにおける脆弱性情報としては取り扱いません。
・サービスレベル等を検証するための行為
・第三者のアカウントや情報以外へのアクセス、改ざんを試みるなどの行為
・DoS攻撃、DoS攻撃に該当する検証行為
・その他、当社の運営するサービスに支障を生じさせることなどを目的とした行為であると判断した場合