メインコンテンツへスキップ

脆弱性開示ポリシー

イソリアへのセキュリティ問題の報告方法と、その後の流れ

このページの内容 8

概要

  1. 報告先は hello@esolia.co.jp
  2. 善意の研究を歓迎(セーフハーバー)
  3. 金銭的報奨はありません
  4. ご本人の同意のもとで謝辞を掲載

更新日: 2026年6月18日

株式会社イソリアは、当社が運用するシステムのセキュリティ脆弱性に関する報告を歓迎します。セキュリティ研究者の皆様の活動を尊重し、問題の確認と迅速な解決のために協力することをお約束します。本ポリシーでは、報告方法、対象範囲、そして当社からお返しできる対応についてご説明します。

本ページは、当社の security.txt から参照される公開の**脆弱性開示ポリシー(VDP)**です。サイト全体のセキュリティ対策の概要はサイトセキュリティを、ISO/IEC 27001に準拠した企業情報セキュリティ管理方針は情報セキュリティ方針をご覧ください。

報告方法

  • メール: hello@esolia.co.jp — 当社の正式なセキュリティ連絡先です(security.txt に記載)。件名に「Security Vulnerability」とご記入ください。
  • または: お問い合わせフォームに、件名「Security Vulnerability」としてご連絡ください。
  • 言語・機密情報: 英語・日本語に対応しています。機密性の高い詳細を安全に共有する必要がある場合は、最初のご連絡でその旨をお知らせください。安全な経路を調整します。

報告には以下をお含めください。

  • 問題の概要と想定される影響
  • 再現手順(概念実証、リクエスト、スクリーンショットなど)
  • 該当するURL・エンドポイント・コンポーネント
  • 謝辞の掲載方法に関するご希望(下記「謝辞」の項目を参照)

対象範囲

対象(イソリアが運用するシステム):

  • esolia.co.jp および当社が運用するサブドメイン
  • 上記ドメイン上で当社がホストする公開Webアプリケーション・API

対象外:

  • 当社が利用しているが運用はしていない第三者サービス・プラットフォーム(各提供元へご報告ください)
  • 当社のクライアントのシステム、およびイソリア以外の資産
  • 物理的アクセス、当社スタッフや顧客へのソーシャルエンジニアリング、漏洩した認証情報を前提とする問題
  • サービス妨害(DoS/DDoS)、大量・自動スキャン、負荷・ストレステスト
  • 現実的な影響を実証しない、自動スキャナの出力のみに基づく報告
  • 具体的なセキュリティ影響のないベストプラクティスの提案(例:悪用方法を伴わないヘッダー不足)— 歓迎しますが、参考情報として扱います

対象かどうか不明な場合は、まずお問い合わせください。

セーフハーバー(善意の研究の保護)

本ポリシーに従い、善意で行われたセキュリティ研究に対して、当社が法的措置を取ったり支援したりすることはありません。具体的には、以下を満たす場合、当社はあなたの研究を許可されたものとみなし、敵対するのではなく協力します。

  • プライバシー侵害、データ破壊、サービス妨害を避けるよう善意で努めること
  • 自身が所有する、または明示的にテスト許可を得たアカウントのみを操作すること
  • 問題の実証に必要な最小限を超えてデータにアクセス・改変・保持しないこと
  • 公開前に、当社が修正する合理的な機会を与えること
  • 概念実証を超えて問題を悪用しないこと

本ポリシーに沿った活動に対して第三者から法的措置が取られた場合、当社はこの許可の事実を明らかにします。

お願い

  • 破壊や他者データへのアクセスは行わないでください。 概念実証で止めてください。
  • 当社が修正する合理的な機会を得るまで、情報を非公開にしてください。可能な限り、公開時期を協調して取り決めます。
  • 1件の報告につき1つの問題を、再現可能な十分な詳細とともにお寄せください。

金銭的報奨はありません

イソリアは有償のバグバウンティプログラムを運用していません。報告に対する金銭的報奨はなく、脆弱性情報の対価交渉も行いません。その代わり、迅速で誠実な対応と、ご希望に応じた公開の謝辞(下記)をお返しします。

謝辞

ご本人の同意のもと、当社の謝辞リスト(security.txt から参照)にクレジットを掲載いたします。以下をお選びいただけます。

  • 表示するお名前
  • 任意で、お名前に添えるリンク1つ(GitHub や HackerOne のプロフィールなど)。プライバシー保護のため、外部リンクには rel="nofollow" を付与して掲載します。

お名前のみの掲載でも、また掲載を辞退いただいても構いません。掲載は、当社が確認・解決した報告に限り、かつ明示的なご同意がある場合のみ行います。

当社の対応について

  • 受領確認: 24時間以内(営業日・日本時間)の受領確認を目指します。
  • トリアージ: 報告を検証し、再現可否をお知らせします。
  • 解決: 修正完了まで状況を共有し、ご希望に応じて修正後の再テストをご案内します。

変更について

本ポリシーは更新されることがあります。最新版の日付は本ページ上部に表示され、機械可読の正規ポインタは security.txt にあります。

サイトセキュリティ アクセシビリティ声明

お問い合わせ

ご質問やご不明な点がございましたら、お問い合わせフォームよりご連絡ください。

本社

〒105-7105 東京都港区東新橋一丁目5番2号

汐留シティセンター5階 (Work Styling)

メール
hello@esolia.co.jp
電話
+813-4577-3380
FAX
FAX +813-4577-3309