責任のある開示プログラム

脆弱性を解決する準備が整ったら、通常のパッチ適用サイクルを通じてお客様にプッシュします。

概要

ServiceNow はセキュリティについて真摯に考えています。当社のシステム、製品、ネットワークインフラストラクチャの脆弱性をお客様が発見された場合、発見された脆弱性を責任のある方法で Servicenow に開示してくださいますようお願い申し上げます。ServiceNow は、当社のインフラを積極的に監査する試みを容赦しません。当社は、脆弱性が偶発的に検出される場合があることを認識しています。以下のコンテンツは、脆弱性に関する情報を送信するためのベストプラクティスについて説明しています。

範囲

ご留意ください:ServiceNow は、当社のインフラを積極的に監査する試みを容赦しません。

本ドキュメントは、ServiceNow が所有する製品、サービス、およびシステムの技術的な脆弱性に適用されます。脆弱性を報告するときは、攻撃のシナリオまたは悪用可能性、およびバグのセキュリティへの影響の両方を考慮してください。以下のドメインは、当社の資産の例です。

*.servicenow.com
*.service-now.com

スコープ外

  • 承認されたテストスコープ外のドメイン/サブドメイン。
  • サービス拒否攻撃に関連する脆弱性。
  • 自動化ツールやスキャンによって検出された脆弱性。
  • ユーザーのコンピューターやデバイスへの物理的なアクセスが必要な脆弱性。
  • ServiceNow パートナーサイトの脆弱性。
  • スパムまたはソーシャルエンジニアリング技術。
  • ServiceNow オフィスまたはデータセンターに対する物理的な攻撃。


指針

脆弱性を公開する際は、以下のガイドラインに従ってください。

  • 潜在的なセキュリティの問題をできるだけ早く報告してください。ServiceNow は、問題を迅速に解決するためにあらゆる努力を尽くします。

  • 概念実証を含む、脆弱性を再現するために十分な詳細を提供してください。

  • ReproNow を使用して問題の再現性を示すことが奨励されますが、必須ではありません。

  • ServiceNow がその問題を解決するまで、公衆やサードパーティに問題を開示しないでください。

  • プライバシー違反、データの破棄、当社サービスの中断または低下を防止するために、誠実な努力をお願いします。必ず自分が所有しているアカウントか、またはアカウント名義人の明示的な許可を得たアカウントのみを操作してください。

  • プログラムまたは ServiceNow の顧客を特定する可能性のある言語や画像を、解決された脆弱性に関する情報から消してください。

  • 停止テスト(DoS など)や、情報やシステムの機密性、完全性、可用性に影響を与える可能性のあるアクションを実施しないようにしてください。

  • 顧客や従業員のソーシャルエンジニアリングまたはフィッシングには関与しないでください。

  • 脆弱性の開示プログラムによる、時間や資材への支払い、または検出された脆弱性への補償を要求しないでください。


脆弱性の送信

脆弱性を報告するには、disclosure@service-now.com 宛にメールでレポート(概念実証を含む)を送信してください。メールの件名には、「レポート」、「脆弱性」、または「バグ」のキーワードが含まれている必要があります。ServiceNow は、送信されたレポートを精査して 5 営業日以内に回答します。

参照

 

ServiceNow および当社のユーザーの安全を維持するためにご協力いただき、ありがとうございました。

ありがとうございます

Thank you for submitting your request. A ServiceNow representative will be in contact within 48 hours.

form close button

お問い合わせ

ServiceNowのイベント情報、製品情報、サービスについての最新情報を受け取る ※配信停止のご依頼はいつでも承っております.

  • このフォームを送信することにより、私は利用規約を読み、同意したことを確認します。プライバシー規約.