CSIRT記述書(Description)

お客様に安心して快適にご利用頂けるよう、
以下のサービスレベルを目標に定め、
運用しています。

文書情報(Document Information)

通知の他の配布リスト

更新のお知らせは、弊社のウェブサイトにて報告いたします。

本文書の場所

弊社のウェブサイトの本ページよりご確認いただけます。

  • https://www.cybozu.com/jp/productsecurity/management/cysirt.html

連絡先情報(Contact Information)

チーム名

正式名称:
サイボウズ株式会社 CSIRT
英語名称:
Cybozu Inc. Security Incident Response Team
略称:
Cy-SIRT(サイサート)

所在地

〒103-6028
東京都中央区日本橋 2-7-1 東京日本橋タワー 28F
サイボウズ株式会社 CSIRT(Cy-SIRT)

設立年月日

2011年8月4日

時間帯

日本時間
Japan Time (GMT +0900 throughout the year)

電話番号

03-6324-3999

ファクシミリ番号

保持しておりません。

電子メールアドレス

機密情報を含むセキュリティインシデントに関する情報をご連絡いただく場合には、以下のメールアドレスよりご連絡ください。

サイボウズ製品に関するセキュリティ情報をご連絡いただく場合には、以下のメールアドレスよりご連絡ください。

公開鍵と他の暗号化情報

Cy-SIRT では、PGP 公開鍵を公開しています。 情報をセキュアに Cy-SIRT へ送信したい方は、この PGP 公開鍵をご活用下さい。

セキュリティ室
  • Key ID:0x1ACA0390

  • Key Type:4,096-bit RSA (secret key available)

  • Key Finger Print:4EC5 78C3 8FD9 EF99 CA98 5EED 3E41 917A 1ACA 0390

Cy-PSIRT
  • Key ID:0x427D2E57

  • Key Type:4,096-bit RSA (secret key available)

  • Key Finger Print:BA13 6407 6063 621D AE10 0351 3FFA 20DF 427D 2E57

チームメンバー

Cy-SIRT 代表者 明尾 洋一(セキュリティ室)

Cy-SIRT 事務局(コーディネーター) 新関 和貴(Cy-PSIRT)、山西 生恵(Cy-PSIRT)、大塚 由梨子(Cy-PSIRT)、久保 慎也(Cy-PSIRT)、長友 比登美(Cy-PSIRT)、大塚 純平(Cy-PSIRT)、中井戸 志麻(セキュリティ室)、丁 しょう(セキュリティ室)、小西 達也(Cy-PSIRT)、田口 息吹(Cy-PSIRT)

業務時間

24 時間受け付けておりますが、対応が可能な時間は以下の通りとなります。

平日 9:00 ~ 17:00 (JST)(年末年始を除く)

チームロゴ

連絡先

サイボウズ製品に関するセキュリティ情報をご連絡いただく場合には、以下の報告フォームをご利用ください。

サイボウズのセキュリティインシデントに関する情報をご連絡いただく場合には、以下の報告フォームをご利用ください。

いずれもご連絡は日本語または英語で受け付けております。

憲章(Charter)

ミッションステートメント

Cy-SIRT は、クラウドサービスの開始を機に、従来の体制を強化する形で設立されました。
社外の組織・専門家と協力して、インシデント発生の予防、早期検知、早期解決、被害が発生した場合の最小化を主眼とした活動をすることを目的としています。

サービス対象者

Cy-SIRT は、サイボウズ株式会社の中に設置されています。
Cy-SIRT のサービス対象者は、弊社サービスをご利用中または、ご利用をご検討いただくお客様および、弊社製品をお取り扱いいただくパートナー様となります。

構成

Cy-SIRT は主に2つの機能を持ちます。

PSIRT (Cy-PSIRT)
サイボウズ製品のセキュリティ品質向上を目的として活動するチームです。
CSIRT(セキュリティ室)
サイボウズにおけるセキュリティインシデントの対応および、予防を目的として活動するチームです。

権限

Cy-SIRT は、以下を実施する権限を有します。

  • 1. 弊社製品で発生する脆弱性情報に関するサポート対応
  • 2. 弊社製品および、サービスにて発生したインシデントに関する情報管理および、発信
  • 3. セキュリティインシデントを予防するための情報収集、情報発信

以下は実施いたしません。

  • 弊社で発生したセキュリティインシデントに対する直接対応
  • 導入いただいているシステムに関する現地調査
  • 導入いただいているサービスに関して発生したインシデントへの直接対応
弊社製品で発生する脆弱性情報に関するサポート対応
Cy-SIRT はサポート対応の一環として、他の組織やコミュニティに対して、連絡する権限を有します。サポート業務の過程でいただきました情報につきましては、弊社規定に沿って取り扱います。
セキュリティインシデントを予防するための情報収集、情報発信
Cy-SIRT は、セキュリティインシデントが発生することを未然に防止するために、定期的に各サービスに対して脆弱性検証を実施しています。

ポリシー(Policies)

インシデントの種類とサポートレベル

Cy-SIRT は、脆弱性ご連絡相談フォームおよび、メールアドレス宛にいただいたご連絡に対するサポート業務を提供いたします。
サポート業務の過程でいただきました情報につきましては、Cy-SIRT にて、弊社規定に沿って取り扱います。

協力、相互活動及び情報の開示

他の組織やコミュニティとの連携に関するポリシー
Cy-SIRT はサポート対応の一環として、他の組織やコミュニティに対して、連絡する権限を有します。
連絡には security@cybozu.co.jp および、productsecurity@cybozu.co.jp のメールアドレスを利用いたします。
警察機関への情報提供に関するポリシー
Cy-SIRT は、直接警察機関に連絡する権限を有しません。
社内の既存組織に連絡し、関係機関に連絡をします。
報道機関への情報提供に関するポリシー
Cy-SIRT は、直接報道機関に連絡する権限を有しません。
社内の既存組織に連絡し、関係機関に連絡をします。

コミュニケーションと認証

サイボウズ製品に関するセキュリティ情報をご連絡いただく場合には、以下の報告フォームをご利用ください。

サイボウズのセキュリティインシデントに関する情報をご連絡いただく場合には、以下の報告フォームをご利用ください。

また、機密情報を含むセキュリティインシデントに関する情報を送信いただく場合には、PGP を用いてメールにてご連絡いただくことが可能です。

サービス(Services)

インシデント対応

Cy-SIRT は弊社サービスに関するインシデント対応に必要な技術情報を収集し、システム管理者様のインシデント対応を支援いたします。

インシデントトリアージ
Cy-SIRT は CVSS v3(他、実現可能性や、製品・サービス独自の特性なども考慮)に沿って、脆弱性の重要度を判定します。 判定結果を元に、 弊社規定に沿って対応いたします。
インシデントコーディネーション
Cy-SIRT は弊社規定に沿って、外部に公開する必要があると判断したインシデントについては、外部機関と協力し情報を公開いたします。
また弊社では解決できないインシデントについては、他の組織に協力を仰ぎ、必要に応じて法務部門を通じて、警察機関に連絡します。
インシデント解決
検出されたインシデントのうち、製品に起因するインシデントについて分析し、再発防止策についてアドバイスを行います。

予防的活動

Cy-SIRT はインシデントを未然に防止することを目的として、以下の活動に取り組んでおります。

  • 弊社サービスのペネトレーションテスト・Web アプリケーション脆弱性診断を定期的に実施
  • 弊社が利用するサードパーティ製品および、サービスの管理
  • 弊社製品および、サービスの検証計画に関するレビュー
  • 弊社インシデント対応計画の立案の補佐および、レビュー

免責事項(Disclaimers)

本記述文書に含まれる情報もしくは利用することで、直接・間接的に生じた損失に関し、Cy-SIRT は一切責任を負わないものとします。