CSIRT記述書(Description)
インシデント発生の予防、早期検知、早期解決、
被害が発生した場合の最小化を目的に、
活動しています。
文書情報(Document Information)
通知の他の配布リスト
更新のお知らせは、弊社のウェブサイトにて報告いたします。
本文書の場所
弊社のウェブサイトの本ページよりご確認いただけます。
- https://www.cybozu.com/jp/productsecurity/management/cysirt.html
連絡先情報(Contact Information)
チーム名
- 正式名称:
- サイボウズ株式会社 CSIRT
- 英語名称:
- Cybozu Inc. Security Incident Response Team
- 略称:
- Cy-SIRT(サイサート)
所在地
〒103-6028
東京都中央区日本橋 2-7-1 東京日本橋タワー 28F
サイボウズ株式会社 CSIRT(Cy-SIRT)
設立年月日
2011年8月4日
時間帯
日本時間
Japan Time (GMT +0900 throughout the year)
電話番号
03-6324-3999
ファクシミリ番号
保持しておりません。
電子メールアドレス
機密情報を含むセキュリティインシデントに関する情報をご連絡いただく場合には、以下のメールアドレスよりご連絡ください。
サイボウズ製品に関するセキュリティ情報をご連絡いただく場合には、以下のメールアドレスよりご連絡ください。
公開鍵と他の暗号化情報
Cy-SIRT では、PGP 公開鍵を公開しています。 情報をセキュアに Cy-SIRT へ送信したい方は、この PGP 公開鍵をご活用下さい。
Key ID:0xA093AB82
Key Type:4,096-bit RSA (secret key available)
Key Finger Print:93B2 BA3A 47F4 3764 AFA0 5C9D 6A18 A8D7 A093 AB82
Key ID:0x74885C93
Key Type:4,096-bit RSA (secret key available)
Key Finger Print:D1DE 800A 3D15 D26F 4414 CD6E 2D01 4950 7488 5C93
業務時間
24 時間受け付けておりますが、対応が可能な時間は以下の通りとなります。
平日 9:00 ~ 17:00 (JST)(年末年始を除く)
チームロゴ
連絡先
サイボウズ製品に関するセキュリティ情報をご連絡いただく場合には、以下の報告フォームをご利用ください。
サイボウズのセキュリティインシデントに関する情報をご連絡いただく場合には、以下の報告フォームをご利用ください。
いずれもご連絡は日本語または英語で受け付けております。
憲章(Charter)
ミッションステートメント
Cy-SIRT は、クラウドサービスの開始を機に、従来の体制を強化する形で設立されました。
社外の組織・専門家と協力して、インシデント発生の予防、早期検知、早期解決、被害が発生した場合の最小化を主眼とした活動をすることを目的としています。
サービス対象者
Cy-SIRT は、サイボウズ株式会社の中に設置されています。
Cy-SIRT のサービス対象者は、弊社サービスをご利用中または、ご利用をご検討いただくお客様および、弊社製品をお取り扱いいただくパートナー様となります。
構成
Cy-SIRT は主に2つの機能を持ちます。
- PSIRT (Cy-PSIRT)
- 自社で製造・開発する製品・サービスに対するセキュリティの向上や、インシデント(不具合や障害など)への対応を目的とする組織です。
- CSIRT(セキュリティ室)
- サイボウズにおけるセキュリティインシデントの対応および、予防を目的として活動するチームです。
権限
Cy-SIRT は、以下を実施する権限を有します。
- 1. 弊社製品で発生する脆弱性情報に関するサポート対応
- 2. 弊社製品および、サービスにて発生したインシデントに関する情報管理および、発信
- 3. セキュリティインシデントを予防するための情報収集、情報発信
以下は実施いたしません。
- 弊社で発生したセキュリティインシデントに対する直接対応
- 導入いただいているシステムに関する現地調査
- 導入いただいているサービスに関して発生したインシデントへの直接対応
- 弊社製品で発生する脆弱性情報に関するサポート対応
- Cy-SIRT はサポート対応の一環として、他の組織やコミュニティに対して、連絡する権限を有します。サポート業務の過程でいただきました情報につきましては、弊社規定に沿って取り扱います。
- セキュリティインシデントを予防するための情報収集、情報発信
- Cy-SIRT は、セキュリティインシデントが発生することを未然に防止するために、定期的に各サービスに対して脆弱性検証を実施しています。
ポリシー(Policies)
インシデントの種類とサポートレベル
Cy-SIRT は、脆弱性ご連絡相談フォームおよび、メールアドレス宛にいただいたご連絡に対するサポート業務を提供いたします。
サポート業務の過程でいただきました情報につきましては、Cy-SIRT にて、弊社規定に沿って取り扱います。
協力、相互活動及び情報の開示
- 他の組織やコミュニティとの連携に関するポリシー
- Cy-SIRT はサポート対応の一環として、他の組織やコミュニティに対して、連絡する権限を有します。
連絡には security@cybozu.co.jp および、productsecurity@cybozu.co.jp のメールアドレスを利用いたします。
- 警察機関への情報提供に関するポリシー
- Cy-SIRT は、直接警察機関に連絡する権限を有しません。
社内の既存組織に連絡し、関係機関に連絡をします。
- 報道機関への情報提供に関するポリシー
- Cy-SIRT は、直接報道機関に連絡する権限を有しません。
社内の既存組織に連絡し、関係機関に連絡をします。
- 利用しているサードパーティー製品の情報開示に関するポリシー
- 利用しているサードパーティー製品に関する情報は、セキュリティの観点から情報開示していません。
また、個別にお問い合わせをいただいた場合でも回答しておりません。
コミュニケーションと認証
サイボウズ製品に関するセキュリティ情報をご連絡いただく場合には、以下の報告フォームをご利用ください。
サイボウズのセキュリティインシデントに関する情報をご連絡いただく場合には、以下の報告フォームをご利用ください。
また、機密情報を含むセキュリティインシデントに関する情報を送信いただく場合には、PGP を用いてメールにてご連絡いただくことが可能です。
サービス(Services)
インシデント対応
Cy-SIRT は弊社サービスに関するインシデント対応に必要な技術情報を収集し、システム管理者様のインシデント対応を支援いたします。
- インシデントトリアージ
- Cy-SIRT は CVSS v3(他、実現可能性や、製品・サービス独自の特性なども考慮)に沿って、脆弱性の重要度を判定します。 判定結果を元に、 弊社規定に沿って対応いたします。
- インシデントコーディネーション
- Cy-SIRT は弊社規定に沿って、外部に公開する必要があると判断したインシデントについては、外部機関と協力し情報を公開いたします。
また弊社では解決できないインシデントについては、他の組織に協力を仰ぎ、必要に応じて法務部門を通じて、警察機関に連絡します。
- インシデント解決
- 検出されたインシデントのうち、製品に起因するインシデントについて分析し、再発防止策についてアドバイスを行います。
予防的活動
Cy-SIRT はインシデントを未然に防止することを目的として、以下の活動に取り組んでおります。
- 弊社サービスのペネトレーションテスト・Web アプリケーション脆弱性診断を定期的に実施
- 弊社が利用するサードパーティ製品および、サービスの管理
- 弊社製品および、サービスの検証計画に関するレビュー
- 弊社インシデント対応計画の立案の補佐および、レビュー
- 弊社が利用するOSSに関する脆弱性情報の情報収集
免責事項(Disclaimers)
本記述文書に含まれる情報もしくは利用することで、直接・間接的に生じた損失に関し、Cy-SIRT は一切責任を負わないものとします。
