CSIRT記述書（Description）

更新のお知らせは、弊社のウェブサイトにて報告いたします。

弊社のウェブサイトの本ページよりご確認いただけます。

• https://www.cybozu.com/jp/productsecurity/management/cysirt.html

正式名称:

サイボウズ株式会社 CSIRT

英語名称:

Cybozu Inc. Security Incident Response Team

略称:

Cy-SIRT（サイサート）

〒103-6028
東京都中央区日本橋 2-7-1 東京日本橋タワー 28F
サイボウズ株式会社 CSIRT（Cy-SIRT）

2011年8月4日

日本時間
Japan Time (GMT +0900 throughout the year)

03-6324-3999

保持しておりません。

機密情報を含むセキュリティインシデントに関する情報をご連絡いただく場合には、以下のメールアドレスよりご連絡ください。

• security@cybozu.co.jp

Cy-SIRT では、PGP 公開鍵を公開しています。 情報をセキュアに Cy-SIRT へ送信したい方は、この PGP 公開鍵をご活用下さい。

セキュリティ室

• security@cybozu.co.jp
• https://www.cybozu.com/jp/features/management/security_office.asc

• Key ID：0x1ACA0390

• Key Type：4,096-bit RSA (secret key available)

• Key Finger Print：4EC5 78C3 8FD9 EF99 CA98 5EED 3E41 917A 1ACA 0390

Cy-PSIRT

• productsecurity@cybozu.co.jp
• https://www.cybozu.com/jp/features/management/cy-psirt.asc

• Key ID：0x74885C93

• Key Type：4,096-bit RSA (secret key available)

• Key Finger Print：D1DE 800A 3D15 D26F 4414 CD6E 2D01 4950 7488 5C93

Cy-SIRT 代表者 明尾 洋一（セキュリティ室）

Cy-SIRT 事務局（コーディネーター） 新関 和貴（Cy-PSIRT）、山西 生恵（Cy-PSIRT）、大塚 由梨子（Cy-PSIRT）、久保 慎也（Cy-PSIRT）、長友 比登美（Cy-PSIRT）、大塚 純平（Cy-PSIRT）、中井戸 志麻（セキュリティ室）、杉山 峻（セキュリティ室）、小西 達也（Cy-PSIRT）、田口 息吹（Cy-PSIRT）、根建 孝司（セキュリティ室）、松本 純（セキュリティ室）

24 時間受け付けておりますが、対応が可能な時間は以下の通りとなります。

平日 9:00 ～ 17:00 （JST）（年末年始を除く）

サイボウズ製品に関するセキュリティ情報をご連絡いただく場合には、以下の報告フォームをご利用ください。

• https://www.cybozu.com/jp/productsecurity/management/security.html

Cy-SIRT は、クラウドサービスの開始を機に、従来の体制を強化する形で設立されました。
社外の組織・専門家と協力して、インシデント発生の予防、早期検知、早期解決、被害が発生した場合の最小化を主眼とした活動をすることを目的としています。

Cy-SIRT は、サイボウズ株式会社の中に設置されています。
Cy-SIRT のサービス対象者は、弊社サービスをご利用中または、ご利用をご検討いただくお客様および、弊社製品をお取り扱いいただくパートナー様となります。

Cy-SIRT は主に２つの機能を持ちます。

PSIRT (Cy-PSIRT)

自社で製造・開発する製品・サービスに対するセキュリティの向上や、インシデント（不具合や障害など）への対応を目的とする組織です。

CSIRT（セキュリティ室）

サイボウズにおけるセキュリティインシデントの対応および、予防を目的として活動するチームです。

Cy-SIRT は、以下を実施する権限を有します。

• 1. 弊社製品で発生する脆弱性情報に関するサポート対応
• 2. 弊社製品および、サービスにて発生したインシデントに関する情報管理および、発信
• 3. セキュリティインシデントを予防するための情報収集、情報発信

弊社製品で発生する脆弱性情報に関するサポート対応

Cy-SIRT はサポート対応の一環として、他の組織やコミュニティに対して、連絡する権限を有します。サポート業務の過程でいただきました情報につきましては、弊社規定に沿って取り扱います。

セキュリティインシデントを予防するための情報収集、情報発信

Cy-SIRT は、セキュリティインシデントが発生することを未然に防止するために、定期的に各サービスに対して脆弱性検証を実施しています。

Cy-SIRT は、脆弱性ご連絡相談フォームおよび、メールアドレス宛にいただいたご連絡に対するサポート業務を提供いたします。
サポート業務の過程でいただきました情報につきましては、Cy-SIRT にて、弊社規定に沿って取り扱います。

他の組織やコミュニティとの連携に関するポリシー

Cy-SIRT はサポート対応の一環として、他の組織やコミュニティに対して、連絡する権限を有します。
連絡には security@cybozu.co.jp および、productsecurity@cybozu.co.jp のメールアドレスを利用いたします。

警察機関への情報提供に関するポリシー

Cy-SIRT は、直接警察機関に連絡する権限を有しません。
社内の既存組織に連絡し、関係機関に連絡をします。

報道機関への情報提供に関するポリシー

Cy-SIRT は、直接報道機関に連絡する権限を有しません。
社内の既存組織に連絡し、関係機関に連絡をします。

利用しているOSSの情報開示に関するポリシー

利用しているOSSに関する情報は、セキュリティの観点から情報開示していません。
また、個別にお問い合わせをいただいた場合でも回答しておりません。

サイボウズ製品に関するセキュリティ情報をご連絡いただく場合には、以下の報告フォームをご利用ください。

• https://www.cybozu.com/jp/productsecurity/management/security.html

Cy-SIRT は弊社サービスに関するインシデント対応に必要な技術情報を収集し、システム管理者様のインシデント対応を支援いたします。

インシデントトリアージ

Cy-SIRT は CVSS v3（他、実現可能性や、製品・サービス独自の特性なども考慮）に沿って、脆弱性の重要度を判定します。 判定結果を元に、 弊社規定に沿って対応いたします。

インシデントコーディネーション

Cy-SIRT は弊社規定に沿って、外部に公開する必要があると判断したインシデントについては、外部機関と協力し情報を公開いたします。
また弊社では解決できないインシデントについては、他の組織に協力を仰ぎ、必要に応じて法務部門を通じて、警察機関に連絡します。

インシデント解決

検出されたインシデントのうち、製品に起因するインシデントについて分析し、再発防止策についてアドバイスを行います。

Cy-SIRT はインシデントを未然に防止することを目的として、以下の活動に取り組んでおります。

• 弊社サービスのペネトレーションテスト・Web アプリケーション脆弱性診断を定期的に実施
• 弊社が利用するサードパーティ製品および、サービスの管理
• 弊社製品および、サービスの検証計画に関するレビュー
• 弊社インシデント対応計画の立案の補佐および、レビュー
• 弊社が利用するOSSに関する脆弱性情報の情報収集