グローバル・インターネット・ジャパン株式会社(以下「当社」といいます)は、お客様および利用者の安全を守るため、当社が運営するウェブサイトおよびサービスにおける脆弱性に関する報告を、セキュリティ研究者、利用者、その他第三者から受け付けます。
良質な脆弱性報告は、サービスの信頼性向上に不可欠であると考えています。本ポリシーをよくお読みのうえ、ご報告くださいますようお願いいたします。
1. 報告対象
以下の当社運営ドメインおよびサービスにおける脆弱性が報告対象です。
www.gij.com(コーポレートサイト)www.transrec.net(TRANSREC)*.denwaban.jp(Denwaban)
2. 報告対象外
以下は本ポリシーの報告対象外とします。これらに対するテストはお控えください。
- 当社が運営しない第三者サービス(Google Maps 等の埋め込み機能を含む)
- DoS / DDoS 攻撃、物理的攻撃、ソーシャルエンジニアリング
- 既に公知の脆弱性、当社が認知し対応中の脆弱性
- セキュリティ上の影響が確認できない情報(ベストプラクティス的指摘、ヘッダ設定の好みの問題等)
3. 報告方法
以下の連絡先まで、再現手順を含めてご連絡ください。
- メール: security@gij.com
- 件名:
[脆弱性報告] <概要>を推奨
報告には以下を含めていただけると、迅速な対応が可能です。
- 影響を受けるサービス / URL
- 脆弱性の概要と想定される影響
- 再現手順(PoC コード、スクリーンショット、ネットワークログ等)
- ご連絡先(任意。匿名での報告も受け付けます)
4. 当社の対応
ご報告をいただいた内容については、当社の体制に応じてベストエフォートで確認・対応にあたります。受領確認、トリアージ結果、修正の見通し等についても、可能な範囲で随時ご連絡いたします。
報告いただいた脆弱性については、修正が完了するまで、または当社と協議のうえ合意した時期まで、公開を控えていただきますようお願いいたします。
5. セーフハーバー(Safe Harbor)
以下の条件をすべて満たす範囲で行われた善意の脆弱性調査については、当社は法的措置を行いません。
- 本ポリシーに違反しない範囲での調査であること
- データの破壊、改ざん、外部への持ち出し、サービス妨害を行わないこと
- 他の利用者のプライバシーを侵害しないこと
- 発見した脆弱性の情報を、当社の対応完了前に公開しないこと
- 脆弱性確認に必要な最小限のテストに留めること
調査の過程で個人情報を取得してしまった場合は、当社にご連絡のうえ、速やかに破棄してください。
6. 機械可読版
本ポリシーの機械可読版を https://www.gij.com/.well-known/security.txt に配置しています(RFC 9116準拠)。