脆弱性開示ポリシー

最終更新日: 2026-06-01(v1)

※ 本書は最新の設計に基づくドラフトです。本番適用前に法務専門家のレビューを実施します。

本ポリシーは最新の設計に基づくドラフトです。本番適用前に法務・セキュリティ専門家のレビューを実施します。

Niyase株式会社(以下「当社」)は、本サービス「niyase」の安全性向上のため、セキュリティ研究者・利用者の皆様からの脆弱性のご報告を歓迎します。本ポリシーは、脆弱性の報告方法・対象範囲・当社の対応・善意の研究者の保護(セーフハーバー)について定めるものです。

機械可読なセキュリティ連絡先は /.well-known/security.txt(RFC 9116)でも公開しています。

第1条(報告先)

セキュリティ上の脆弱性を発見された場合は、以下までご連絡ください。

  • メール: contact@niyase.com(件名に「セキュリティ報告」とご記載ください)
  • 可能であれば、再現手順・影響範囲・PoC(概念実証)を添えてください。
  • 機微な内容を含む場合は、暗号化通信を希望される旨をご連絡いただければ、別途安全な連絡手段をご案内します。

第2条(対象範囲)

以下を主たる対象とします。

  • *.niyase.com(www / cloud / docs / api / admin / marketplace 等の当社運営ドメイン)
  • niyaseアプリ(デスクトップ・モバイル)
  • 当社が配布する公式プラグイン

以下は 対象外 です。

  • 第三者が提供するサービス・インフラ(Google Cloud、Stripe、Firebase、Cloudflare、Sentry 等)。これらは各社の開示プログラムへご報告ください。
  • 第三者開発者が提供する認定プラグイン(当該提供者へご報告ください)。

第3条(禁止事項・対象外の調査手法)

以下の行為は本ポリシーの保護対象外であり、行わないでください。

  • サービス可用性を損なう攻撃(DoS / DDoS、過度な自動スキャン・総当たり)
  • 物理的侵入、ソーシャルエンジニアリング、当社従業員・委託先・利用者へのフィッシング
  • 自身が正当な権限を持たないデータへのアクセス・改ざん・破壊・持ち出し、プライバシーの侵害
  • 脆弱性の第三者への開示・公表(当社との協調的開示の合意前)
  • マルウェアの設置、バックドアの作成、永続的なアクセスの確立

調査の過程で他者の個人情報・業務データにアクセスし得た場合は、直ちにアクセスを停止し、当社へご報告ください。取得したデータは保存・複製・利用せず削除してください。

第4条(当社の対応)

ステップ目安
受領確認原則 5 営業日以内 にご一報します
初期評価妥当性・深刻度の評価結果を可能な範囲で共有します
修正深刻度に応じて優先的に対応します
協調的開示修正完了後、ご報告者と調整のうえ公表の要否・時期を決定します(修正後 90 日 を目安)

当社は、本サービスがベータ版である期間中も、セキュリティ上の重大な問題には優先的に対応します。

第5条(セーフハーバー)

本ポリシーを遵守した 善意の脆弱性調査・報告 に対し、当社は以下を確約します。

  • 当該調査を、当社の利用規約上の禁止事項違反として扱わず、関連する法令(不正アクセス禁止法等)に基づく法的措置・通報を行いません。
  • 第三者から当該調査に関する請求があった場合、本ポリシーに従った善意の調査であることを明らかにするよう努めます。

ただし、第3条の禁止事項に該当する行為、故意に被害を拡大させる行為、金銭の要求を伴う脅迫的な行為は、本セーフハーバーの対象外です。

第6条(報奨金)

当社は現時点で 金銭的な報奨金(バグバウンティ)制度を設けていません。妥当なご報告には、ご希望に応じて謝辞(公開の可否はご報告者の意向を尊重)をもって感謝の意を表します。

第7条(本ポリシーの変更)

当社は、運用状況や法令の変更に応じて本ポリシーを変更することがあります。最新版は本ページおよび /.well-known/security.txt に掲載します。

第8条(連絡先)

Niyase株式会社

バージョン: v1

発効日: 2026-06-01

変更内容: 初版

脆弱性開示ポリシー | Niyase株式会社 | Niyase株式会社