Vulnerability Disclosure Policy

紹介

Introduction

情報セキュリティ研究室（ISL）は情報を保護することによって、研究室関係者の安全を確保することを約束します。本ポリシーでは、脆弱性発見者（以下、発見者）に脆弱性発見活動を行う際の明確なガイドラインを示し、発見された脆弱性をどのように当研究室に提供するかについて、ISLの希望を伝えることを目的としています。

Information Security Laboratory (ISL) is committed to ensuring the security of the laboratory by protecting their information. This policy is intended to give security researchers clear guidelines for conducting vulnerability discovery activities and to convey our preferences in how to submit discovered vulnerabilities to us.

本ポリシーでは、どのようなシステムや調査が対象となるのか、脆弱性報告書の送付方法、および発見者が脆弱性を公に開示するまでの期間などについて説明しています。

This policy describes what systems and types of research are covered under this policy, how to send us vulnerability reports, and how long we ask security researchers to wait before publicly disclosing vulnerabilities.

本ポリシーに基づき、当研究室のシステムの潜在的な脆弱性を報告するようお願いいたします。

In accordance with this policy, we encourage you to contact us to report potential vulnerabilities in our systems.

承認

Authorization

セキュリティ調査中に本ポリシーを遵守するために誠実な努力をした場合、ISLは発見者の調査が承認されたものと考え、迅速に問題に対応・解決し、 ISLは調査に関連する法的措置を追求しません。本ポリシーに従って行われた活動に対して、第三者によって法的措置が開始された場合、当研究室はこの承認を周知します。

If you make a good faith effort to comply with this policy during your security research, we will consider your research to be authorized we will work with you to understand and resolve the issue quickly, and Agency Name will not recommend or pursue legal action related to your research. Should legal action be initiated by a third party against you for activities that were conducted in accordance with this policy, we will make this authorization known.

ガイドライン

Guidelines

本ポリシーにおいて、「調査」とは、以下の活動を意味します。

Under this policy, “research” means activities in which you:

• 実際の、あるいは潜在的なセキュリティ問題が発見された場合、できるだけ早くISLに通知する。
• プライバシー侵害、ユーザーエクスペリエンスの低下、データの破壊または操作を避けるためにあらゆる努力をする。
• 脆弱性の存在を確認するために必要な範囲でのエクスプロイトのみを使用し、データ漏えい、永続的なコマンドラインへのアクセス、または他のシステムへの移行を目的として悪用しない。
• 一般に公開する前に、問題を解決するための時間（通常100日）をISLに提供する。
• 質の低いのレポートを大量に提出しない。

• Notify us as soon as possible after you discover a real or potential security issue.
• Make every effort to avoid privacy violations, degradation of user experience and destruction or manipulation of data.
• Only use exploits to the extent necessary to confirm a vulnerability’s presence. Do not use an exploit to compromise or exfiltrate data, establish persistent command line access, or use the exploit to pivot to other systems.
• Provide us a reasonable amount of time 100 calendar days to resolve the issue before disclosing it publicly.
• Do not submit a high volume of low-quality reports.

脆弱性または機密情報(個人を特定できる情報、機密データなど)が発見された場合：

Upon the discovery of a vulnerability or sensitive data (including personally identifiable information, secrets data):

• すべてのテストを中止してください。
• 直ちにISLに報告してください。
• このデータを誰にも開示しないでください。

• ALL tests must be stopped.
• Notify ISL immediately.
• Do Not disclose this data to anyone.

調査方法

Test methods

以下のような調査方法は認められません。

The following test methods are not authorized:

1. 本ポリシーの「適用範囲」に記載されているシステム以外の調査。
2. 物理的なテスト（大学への立ち入り、ドアの開放、尾行など）
3. ソーシャルエンジニアリング（フィッシング、ビッシング、スパムやその他の疑わしい電子メールなど）、その他の非技術的な脆弱性テスト。
4. DoS または DDoS攻撃、またはシステムやデータへのアクセスや可用性を妨害するその他のテスト。
5. ISLのシステムの運用を低下させる可能性のある方法で調査を行うこと、またはシステムを意図的に損傷、混乱、もしくは無効にすること。
6. 悪意のあるソフトウェアを導入するテスト。
7. データの流出、コマンドラインのアクセスの確立、ISLのシステム上での永続的なプレゼンスの確立をする調査。
8. ISLのシステムと統合またはリンクしている第三者のアプリケーション、Webサイト、サービスの調査。
9. ISLのデータを削除、変更、共有、保持、破壊したりデータにアクセスできなくしたりする調査。

1. Test any system other than the systems set forth in the 'Scope' section above.
2. Physical testing (e.g., university access, open doors, tailgating)
3. Social engineering (e.g., phishing, vishing, spam, and other suspicious email), and any other non-technical vulnerability testing.
4. Network denial of service (DoS or Distributed DoS) or tests that impair access to or damage availability to a system or data.
5. Test in a manner which could degrade the operation of ISL systems; or intentionally impair, disrupt, or disable HHS systems.
6. malicious software.
7. Use an exploit to exfiltrate data, establish command line access, establish a persistent presence on ISL systems, or “pivot” to other ISL systems.
8. Test third-party applications, websites, or services that integrate with or link to or from ISL systems.
9. Delete, alter, share, retain, or destroy ISL data, or render ISL data inaccessible.

適用範囲

Scope

本ポリシーは以下のシステムおよびサービスに適用されます。

This policy applies to the following systems and services:

• www.isl.im.dendai.ac.jp

• www.isl.im.dendai.ac.jp

上記に明示されていないシステムやサービスは適用範囲外であり、調査を行うことはできません。

Any system and service not expressly listed above are excluded from scope and are not authorized for testing.

ISLはその他にもインターネットにアクセス可能なシステムやサービスを開発・維持していますが、この文書に含まれるシステムやサービスに対してのみ積極的な調査を行ってください。本ポリシーの範囲は時間の経過とともに拡大していきます。本ポリシーは調査やテストを含む脆弱性発見活動を行おうとするすべての人に適用されます。

Though we develop and maintain other internet-accessible systems or services, we ask that active research and testing only be conducted on the systems and services covered by the scope of this document. We will increase the scope of this policy over time. This policy applies to anyone wishing to conduct vulnerability discovery activities, including research and testing.

範囲について不明な点がありましたら、ISL(security@isl.im.dendai.ac.jp)までお問い合わせください。

If there is uncertainty regarding the scope, please contact ISL at security@isl.im.dendai.ac.jp

脆弱性の報告

Reporting a vulnerability

本ポリシーに基づき提供された情報は、脆弱性の軽減または修復という防御目的でのみ使用されます。調査結果にISLだけでなく、製品またはサービスのすべてのユーザーに影響を与えるような脆弱性が新たに発見された場合、ISLは報告書を関係者と共有する場合があります。なお、ISLは発見者の氏名や連絡先情報を明示的な許可なく共有することはありません。

Information submitted under this policy will be used for defensive purposes only – to mitigate or remediate vulnerabilities. If your findings include newly discovered vulnerabilities that affect all users of a product or service and not solely ISL, we may share your report with persons concerned. We will not share your name or contact information without express permission.

脆弱性の報告はこちらのフォームでのみ受け付けています。3営業日以内にレポートの受領を確認します。

ISL only accepts vulnerability reports at this form. ISL will acknowledge receipt of the information within three 3 business days.

脆弱性を報告する際、発見者は支払いを期待していないことを認め、報告に関連するISLに対する支払い請求を明示的に放棄することを認めることになります。

When submitting a vulnerability, the security researcher acknowledges that there is no expectation of payment and that any future pay claims against ISL related to the submission have been waived.

当研究室は透明性のある方法でできるだけ早く発見者と連携することを約束します。

ISL commits to coordinating with the security researcher in a transparent and timely manner:

1. 3営業日以内に報告が受理されたことを確認します。
2. 15営業日以内に脆弱性の存在を確認し、発見事項、解決策および解決を遅らせる可能性がある問題点や課題についてさらに検討します。

1. Within 3 business days, ISL will acknowledge that the report has been received.
2. Within 15 business days, ISL will confirm the existence of the vulnerability and provide further discussion on findings, resolutions and/or issues or challenges that may delay resolution.

脆弱性の報告要件

Reporting requirements

発見者は脆弱性の報告の際に以下の条件を満たす必要があります。

To report identified vulnerabilities, security researchers must:

1. 脆弱性報告書をISLの脆弱性提出フォームにて提出してください。
2. 脆弱性の発見場所と悪用された場合の潜在的な影響を説明してください。
3. 脆弱性を再現するために必要な手順を詳細に説明してください。（証拠となるスクリプトやスクリーンショット）
4. 希望に応じて匿名で脆弱性報告書を提出してください。報告書を受理した場合、当研究室は提出された報告書を受理した旨を3営業日以内に電子メールで通知します。
5. 発見された脆弱性に関する情報はISLからの通知を受けてから最長100日間、秘密にしてください。

1. Submit vulnerability reports to ISL Vulnerability Intake form.
2. Describe the location the vulnerability was discovered and the potential impact of exploitation.
3. Offer a detailed description of the steps needed to reproduce the vulnerability (proof of concept scripts or screenshots).
4. Submit vulnerability reports, anonymously, if desired. If a security researcher provides ISL with an email address, ISL will acknowledge, via email receipt of submitted reports within three 3 business days.
5. Keep confidential any information about discovered vulnerabilities for up to 100 calendar days after being notified by ISL.

情報開示の調整

Coordinated disclosure

ISLは脆弱性を100日以内に補修し、完了した際にはその脆弱性の詳細を開示することを約束します。

ISL is committed to patching vulnerabilities within 100 days or less and disclosing the details of those vulnerabilities when patches are published.

同時に、すぐに補修ができない状態での公開はリスクを増大させる可能性があります。そのため、発見者の皆様には、補修中は脆弱性の報告書を他者と共有したり、一般に公開したりすることは控えていただきたいと思います。補修ができる状態になる前に提出された報告書を他者に共有する必要がある場合はISL(security@isl.im.dendai.ac.jp)と調整してください。

At the same time, disclosure in absence of a readily available patch tends to increase risk , and so we ask that security researchers refrain from sharing reports with others, or releasing reports to the public, while patching is occurring. If there is a need to inform others of the submitted report before the patch is available, please coordinate with ISL at security@isl.im.dendai.ac.jp prior to release for assessment.

脆弱性報告書の使用

Use of vulnerability reports

本ポリシーに基づき提出された情報は、ISLが防御目的（すなわち脆弱性の軽減や修正）のために使用します。問題が報告され、それが適用範囲内であり、かつ有効なセキュリティ問題であると判断された場合、その発見を検証し、解決策が提示された後に発見者はその脆弱性を公開することができます。

Information submitted under this policy shall be used by ISL for defensive purposes (i.e. to mitigate or remediate vulnerabilities). If an issue has been reported and determined to be both within the program scope and determined to be a valid security issue, ISL will validate the finding(s) and the security researcher can disclose the vulnerability after a resolution has been issued.

脆弱性報告書に記載された内容は、評価及び処理のために独立した第三者のベンダーに提供することがあります。

The details within the Vulnerability Intake form may be submitted to an independent third-party vendor for evaluation and handling.

情報共有

Information sharing

本ポリシーに基づき提出された情報は、以下のような場合に共有される場合があります。

Information submitted under this policy may be shared:

1. 提出された調査結果にISLだけでなく製品またはサービスのすべてのユーザーに影響を与えるような脆弱性が新たに発見された場合、ISLは報告書を関係者に共有する場合があります。
2. 発見者に関する個人情報は、発見者の書面による明示的な許可なしに開示または共有することはありません。

1. If your findings include newly discovered vulnerabilities that affect all users of a product or service and not solely ISL, we may share your report with persons concerned.
2. Personal information pertinent to the security researcher will not be disclosed or shared without the researcher’s express written permission.

皆様に期待すること

What we would like to see from you

提出されたレポートに優先順位を付けるために以下のことを推奨しています。

In order to help us triage and prioritize submissions, we recommend that your reports:

1. 脆弱性が発見された場所と、悪用された場合の潜在的な影響について説明する。
2. 脆弱性を再現するために必要な手順を詳細に説明する。（証拠となるスクリプトやスクリーンショット（機密データを含まないもの）があれば便利です。）
3. 可能であれば、日本語または英語で書かれている。

1. Describe the location the vulnerability was discovered and the potential impact of exploitation.
2. Offer a detailed description of the steps needed to reproduce the vulnerability (proof of concept scripts or screenshots (if they don’t contain sensitive data) are helpful).
3. Be in Japanese or English, if possible.

謝辞

Acknowledgements

発見者の希望があれば、謝辞に氏名を記載いたします。

If you wish, your name will be included in the acknowledgments.

ご質問

Questions

本ポリシーに関するご質問やご提案は、ISL(security@isl.im.dendai.ac.jp)までお寄せください。

Questions regarding this policy may be sent to ISL at security@isl.im.dendai.ac.jp. We also invite you to contact us with suggestions for improving this policy.