コンテンツにスキップ

バグバウンティプログラム

Ostorlabは、完璧なテクノロジーは存在しないと認識しています。そのため、Ostorlabは世界中の熟練したセキュリティリサーチャーと協力し、自社テクノロジーの脆弱性を特定しています。

Ostorlabの製品またはサービスにおいてセキュリティ上の問題を発見したと思われる場合は、弊社までご報告ください。Ostorlabは、問題の迅速な解決に向けてお客様と協力いたします。

責任あるセキュリティリサーチャーへの感謝の意を示すため、Ostorlabは適格なセキュリティ脆弱性の報告に対して報奨金を提供しています。報奨金の額は報告された脆弱性の深刻度(Severity)に基づいて変動し、適格性はOstorlabの裁量により決定されます。

現時点では、Ostorlabのバグバウンティプログラムは公開されていませんが、参加を希望されるセキュリティリサーチャーは、お問い合わせを通じて招待をリクエストすることができます。

潜在的なセキュリティ脆弱性を提出する際は、問題の詳細な説明と再現手順を提供してください。スクリーンショット、動画、またはその他の形式での概念実証(PoC)は非常に歓迎されます。 事前の承認なしに自動化された脆弱性スキャンツールを使用しないでください。また、明示的な同意なしにデータやシステムにアクセスしたり、中断させたりしないでください。

また、Ostorlabは、問題が解決し報奨金が支払われるまで、セキュリティリサーチャーが第三者に脆弱性を開示しないよう求めています。さらに、Ostorlabが問題に対処するための十分な時間を確保するまで、脆弱性を公に開示しないでください。

弊社のテクノロジーのセキュリティ維持にご協力いただき、前もって感謝申し上げます。私たちと共に、Ostorlabの製品およびサービスがすべての人にとって安全で信頼できるものであり続けるよう確かなものにすることができます。

注意事項

  • Ostorlabは、発見されたすべてのセキュリティ脆弱性に対して返答または報奨金の支払いを行わない場合があります。また、深刻度と影響はリサーチャーの認識と異なる場合があります。
  • オリジナルの発見のみが適格となります。重複した脆弱性に対しては報奨金は支払われません。
  • 本ポリシーを遵守しない場合、プログラムから失格となります。

参加資格要件:

以下のすべてを満たし、拘束されることに同意する場合、プログラムへの参加資格が「あります」。

  • 18歳以上であること。ただし、お住まいの地域で未成年とみなされる場合、本プログラムに参加する前に親または法定後見人の許可が必要です。
  • 個人の資格で参加する個人リサーチャーであるか、参加を許可している組織に所属していること。本プログラムへの参加に関する雇用主の規則を確認する責任は参加者にあります。
  • お客様は以下に同意するものとします。(i) このバグバウンティプログラムに関するまたは関連するすべての情報(例:Ostorlabのシステムアーキテクチャ、事業計画など)および通常かつ合理的に機密とみなされるその他の情報や資料(以下「機密情報」)を含むがこれに限定されない、Ostorlabから受領したすべての情報を機密として保持すること。(ii) 不正な使用または開示から機密情報を保護すること。(iii) 機密情報が提供された目的のためのみに機密情報を使用すること。
  • お客様は、提出物がご自身の作品であること、他の個人または法人が所有する情報を使用していないこと、および提出物をOstorlabに提供する法的権利を有していることを表明および保証するものとします。
  • お客様は、Ostorlabが、追加費用なしに、Ostorlabのバグバウンティプログラムへの参加に関連して、またはその結果としてお客様が作成または開発したすべての著作物を所有することに同意するものとします。
  • お客様は、提出物に対していかなる報酬やクレジットも保証されていないことを認識するものとします。

以下のいずれかの基準を満たす場合、プログラムへの参加資格は「ありません」。

  • 18歳未満である場合。
  • 米国の制裁措置対象国(https://www.treasury.gov/resource-center/sanctions/Pages/default.aspx)、またはバグバウンティプログラムへの参加を許可していないその他の国に居住している場合。
  • 公共部門の従業員である場合。
  • 本プログラムへの参加が雇用主のポリシーに違反する場合。
  • 現在、OstorlabまたはOstorlab関連企業の従業員であるか、当該従業員の近親者(親、兄弟姉妹、配偶者、または子)である場合。
  • 以前にOstorlabの従業員であった場合。

保証の否認

お客様は、本プログラムへの参加がお客様自身の責任において行われることを理解するものとします。

責任の制限 適用法により認められる最大限の範囲において、本契約に別段の定めがある場合を除き、いかなる場合もOstorlab、その関連会社、またはそれらの従業員、請負業者、代理人、役員、または取締役は、Ostorlabのバグバウンティプログラムへの参加に起因または関連して生じる、事業の中断、利益の喪失、信用の喪失、使用機会の喪失、データの喪失、またはその他の無形損失に対する損害を含む(ただしこれらに限定されない)、間接的、懲罰的、付随的、特別、結果的、または懲罰的損害について、お客様またはお客様がプログラムに参加している組織に対して責任を負わないものとします。本プログラムに関連して(本規約の違反を含む)損害賠償を回収する根拠がある場合、お客様は、Ostorlabまたは関連会社、再販業者、販売業者、およびベンダーから最大100.00ドル(USD)を超えない範囲でのみ直接的損害を回収することが唯一かつ排他的な救済措置であることに同意するものとします。本セクションの除外および制限は、主張される責任が契約、不法行為、過失、厳格責任、またはその他の根拠に基づくかどうかに関わらず、違反していない当事者がそのような損害の可能性について知らされていた場合であっても適用されます。