本ポリシーは最新の設計に基づくドラフトです。本番適用前に法務・セキュリティ専門家のレビューを実施します。
Niyase株式会社(以下「当社」)は、本サービス「niyase」の安全性向上のため、セキュリティ研究者・利用者の皆様からの脆弱性のご報告を歓迎します。本ポリシーは、脆弱性の報告方法・対象範囲・当社の対応・善意の研究者の保護(セーフハーバー)について定めるものです。
機械可読なセキュリティ連絡先は /.well-known/security.txt(RFC 9116)でも公開しています。
第1条(報告先)
セキュリティ上の脆弱性を発見された場合は、以下までご連絡ください。
- メール: contact@niyase.com(件名に「セキュリティ報告」とご記載ください)
- 可能であれば、再現手順・影響範囲・PoC(概念実証)を添えてください。
- 機微な内容を含む場合は、暗号化通信を希望される旨をご連絡いただければ、別途安全な連絡手段をご案内します。
第2条(対象範囲)
以下を主たる対象とします。
*.niyase.com(www / cloud / docs / api / admin / marketplace 等の当社運営ドメイン)- niyaseアプリ(デスクトップ・モバイル)
- 当社が配布する公式プラグイン
以下は 対象外 です。
- 第三者が提供するサービス・インフラ(Google Cloud、Stripe、Firebase、Cloudflare、Sentry 等)。これらは各社の開示プログラムへご報告ください。
- 第三者開発者が提供する認定プラグイン(当該提供者へご報告ください)。
第3条(禁止事項・対象外の調査手法)
以下の行為は本ポリシーの保護対象外であり、行わないでください。
- サービス可用性を損なう攻撃(DoS / DDoS、過度な自動スキャン・総当たり)
- 物理的侵入、ソーシャルエンジニアリング、当社従業員・委託先・利用者へのフィッシング
- 自身が正当な権限を持たないデータへのアクセス・改ざん・破壊・持ち出し、プライバシーの侵害
- 脆弱性の第三者への開示・公表(当社との協調的開示の合意前)
- マルウェアの設置、バックドアの作成、永続的なアクセスの確立
調査の過程で他者の個人情報・業務データにアクセスし得た場合は、直ちにアクセスを停止し、当社へご報告ください。取得したデータは保存・複製・利用せず削除してください。
第4条(当社の対応)
| ステップ | 目安 |
|---|---|
| 受領確認 | 原則 5 営業日以内 にご一報します |
| 初期評価 | 妥当性・深刻度の評価結果を可能な範囲で共有します |
| 修正 | 深刻度に応じて優先的に対応します |
| 協調的開示 | 修正完了後、ご報告者と調整のうえ公表の要否・時期を決定します(修正後 90 日 を目安) |
当社は、本サービスがベータ版である期間中も、セキュリティ上の重大な問題には優先的に対応します。
第5条(セーフハーバー)
本ポリシーを遵守した 善意の脆弱性調査・報告 に対し、当社は以下を確約します。
- 当該調査を、当社の利用規約上の禁止事項違反として扱わず、関連する法令(不正アクセス禁止法等)に基づく法的措置・通報を行いません。
- 第三者から当該調査に関する請求があった場合、本ポリシーに従った善意の調査であることを明らかにするよう努めます。
ただし、第3条の禁止事項に該当する行為、故意に被害を拡大させる行為、金銭の要求を伴う脅迫的な行為は、本セーフハーバーの対象外です。
第6条(報奨金)
当社は現時点で 金銭的な報奨金(バグバウンティ)制度を設けていません。妥当なご報告には、ご希望に応じて謝辞(公開の可否はご報告者の意向を尊重)をもって感謝の意を表します。
第7条(本ポリシーの変更)
当社は、運用状況や法令の変更に応じて本ポリシーを変更することがあります。最新版は本ページおよび /.well-known/security.txt に掲載します。
第8条(連絡先)
Niyase株式会社
- 〒335-0022 埼玉県戸田市上戸田4-11-6-303
- メール: contact@niyase.com