メインコンテンツへスキップ
フレームワーク

脆弱性開示ポリシー

Vulnerability Disclosure Policy (VDP)

外部の研究者や利用者が脆弱性を安全に報告できるよう、対象範囲、連絡先、許可する調査、禁止行為、応答方針、情報公開の進め方を示す組織の方針。

VDPは報奨金制度と同義ではなく、無償の報告窓口でも整備できます。対象資産、善意の調査に対する扱い、機密データ取得時の停止、報告形式、受領確認、修正と公開の調整を明文化します。

  • 初心者向けには「脆弱性を見つけた人が、迷わず安全に連絡できる受付ルール」と捉える
  • Bug Bountyの有無にかかわらず、連絡先と対応方針を公開できる
  • 許可範囲を曖昧にせず、可用性を損なうテストや個人情報取得を禁止する

よくある質問

脆弱性開示ポリシーとは?

外部の研究者や利用者が脆弱性を安全に報告できるよう、対象範囲、連絡先、許可する調査、禁止行為、応答方針、情報公開の進め方を示す組織の方針。

脆弱性開示ポリシーについて詳しく知るには?

VDPは報奨金制度と同義ではなく、無償の報告窓口でも整備できます。対象資産、善意の調査に対する扱い、機密データ取得時の停止、報告形式、受領確認、修正と公開の調整を明文化します。

脆弱性開示ポリシーのポイントは?

初心者向けには「脆弱性を見つけた人が、迷わず安全に連絡できる受付ルール」と捉える Bug Bountyの有無にかかわらず、連絡先と対応方針を公開できる 許可範囲を曖昧にせず、可用性を損なうテストや個人情報取得を禁止する

← 用語集一覧に戻る
ESC