脆弱性報奨金制度

サイボウズ脆弱性報奨金制度

サイボウズが提供するサービスに存在する弊社にとって未知の脆弱性を早期に発見し改修することを目的とする制度です。
対象製品の脆弱性を発見し、ご報告いただいた方に謝礼として報奨金をお支払いします。報奨金は1件あたり上限2,000,000円です。​

Cybozu Bug Bounty English page

開催概要

参加方法と脆弱性のご報告

報奨金制度に参加したい場合は、報告用サイト経由でご報告ください。
報告用サイトで報告するには「アカウントの申し込み」が必要です。報告用サイト以外からのご連絡は報奨金のお支払い対象外となりますので、あらかじめご了承ください。脆弱性情報のご連絡は「脆弱性のご連絡」ページをご確認ください。

  1. 脆弱性検証環境提供プログラムお申し込み
    ※必要に応じて
  2. 検証
  3. ご報告
  4. 評価
  5. お支払い

参加条件

以下の条件を満たした方は、どなたでも参加いただけます。

  • 報告時においてサイボウズまたはサイボウズの子会社の従業員ではないこと
  • 報告時において業務委託契約、出向契約、派遣契約等の契約形態により、サイボウズまたはサイボウズの子会社の業務に従事していないこと
  • 報告日の過去1年間 にサイボウズまたはサイボウズの子会社において正社員として雇用されていないこと
  • 報告日の過去1年間 にサイボウズまたはサイボウズの子会社において製品開発及びクラウドサービスの運用関連業務に従事していないこと
  • 日本語または英語でCy-PSIRTとコミュニケーションできること
  • 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。
  • 規約 に同意いただけること

制限・禁止事項

下記の項目に反した検証の実施を検出した場合、その他適切な運用に支障が出ると弊社が判断した場合、検証実施者の方に事前のご連絡をすることなくアクセスの遮断等の措置を行い、今後の制度への参加を制限させていただく場合があります。詳細は 規約 の第6条 「制限・禁止事項」をご参照ください。

1.報奨金制度対象外の場所における検証の禁止

「対象となる製品・サービスおよびWebサイト」に記載されていない製品やWebサイト、ドメインへの脆弱性検証は禁止されています。
また、クラウド製品への脆弱性検証は(サブドメイン).cybozu-dev.comのみ実施可能です。

2. 検証を禁止している機能

cybozu.com 共通管理のお問い合わせ機能に対する脆弱性検証は実施いただけません。

3. 負荷検証の禁止

環境に著しい負荷を与える検証は実施いただけません。

脆弱性検証環境提供プログラムについて

実際にお客様へ提供している環境に影響を与えないことを目的として、回線およびサーバーを物理的に分離した検証用の環境を提供しております。​
詳しくは以下のページをご参照ください。

脆弱性検証環境提供プログラム

対象となる製品・サービスおよびWebサイト

製品・サービス

クラウドサービス
  • cybozu.com 共通管理
    ※お問い合わせ機能は除く
  • クラウド版 サイボウズ Office
  • クラウド版 Garoon
  • kintone(本体)
  • クラウド版 メールワイズ
  • セキュアアクセス
  • cybozu.com Store
  • cybozu.com 運用基盤
モバイルサービス
  • kintone モバイル
  • サイボウズ Office モバイル
  • クラウド版 Garoon モバイル
周辺サービス
  • Garoon API
  • kintone API(REST API / JavaScript API)
  • User API
  • kintone アプリストア
  • Cybozu Desktop2 (Windows版)
プライベートプログラムについて

一部の参加者に対し、通常の報奨金制度とは異なる条件や限定製品への検証を許可するプライベートプログラムへ招待させて頂く場合があります。

詳細は対象の参加者にのみ個別にご連絡いたします。
対象の参加者以外には開示いたしませんので、あらかじめご了承ください。


Webサイト

サービス紹介Webサイト
製品Webサイト https://www.cybozu.com
ログイン方法 https://cybozu.co.jp/customer/howtologin/
さわってみよう! kintoneアプリ作成画面 https://kintone.cybozu.co.jp/try-kintone-app-builder/

報奨金

脆弱性の種別によって報奨金額を算出します。
詳細は「報奨金制度ルールブック」をご覧ください。
なお、報告者が獲得した報奨金額は、ご本人様以外には開示いたしません。

製品・サービス

脆弱性種別 kintone(*1)
cybozu.com 共通管理(*1)
cybozu.com Store
kintone アプリストア
Garoon(*1)
メールワイズ
Office
cybozu.com 運用基盤
セキュアアクセス
Cybozu Desktop2 (Windows版)
RCE 200 万円(固定) 200 万円(固定) 200 万円(固定)
SQLインジェクション 40 ~ 160 万円 10 ~ 100 万円
XSS 10 ~ 40 万円 5 ~ 20 万円
インジェクション(SQL以外) 5 ~ 35 万円 4 ~ 20 万円
アクセス制御の不備 20 ~ 80 万円 5 ~ 40 万円
モバイルアプリ特有の脆弱性 1 ~ 200 万円
(対象:kintone モバイル)
1 ~ 200 万円
(対象:サイボウズ Office モバイル、クラウド版 Garoon モバイル)
その他 1 ~ 200 万円 1 ~ 200 万円 1 ~ 200 万円

(*1)各製品が提供するAPIを含む

弊社脆弱性報奨金制度における脆弱性情報の認定可否の詳細は「脆弱性認定ガイドライン」をご覧ください。


Webサイト

RCE:100万円(固定)

その他:2万円(固定)

Webサイトの問題はCGIやJavaScriptなどプログラムの脆弱性であっても、「件数」単位で報奨金をお支払いします。対象となるWebサイトは上記「対象となる製品・サービスおよびWebサイト」をご確認ください。

制度の詳細

問い合わせ

よくある質問と答え(FAQ)

よく寄せられるご質問とその答えを公開しています。お問い合わせの前にぜひご参照ください。

FAQ

問い合わせ

報奨金制度に関する質問・要望などのお問い合わせは報告用サイトからお問い合わせいただけます。
アカウントをお持ちでない方はメールでもお問い合わせを受け付けております。