脆弱性開示ポリシー

1. はじめに

OBIEN（以下「当社」）は、セキュリティ研究者と協力してサービスの安全性を高めることを重視しています。 本ポリシーは、当社のシステムに脆弱性を発見した場合の報告手順と、当社の対応方針を定めるものです。

2. 対象範囲

本ポリシーは以下のドメインおよびサービスに適用されます。

• obien.jp およびそのサブドメイン
• 当社が運営するWebアプリケーション

3. 報告方法

脆弱性を発見された場合は、以下のメールアドレスにご報告ください。

報告には以下の情報を含めてください。

• 脆弱性の概要と影響範囲
• 再現手順（PoC がある場合は添付）
• 発見日時
• ご連絡先（任意）

4. 開示タイムライン

当社は、報告を受領後、以下のタイムラインで対応いたします。

• 受領確認: 3営業日以内
• 初期評価: 10営業日以内
• 修正・開示: 報告から90日以内

修正が完了するまで、脆弱性情報の公開はお控えいただくようお願いいたします。 90日を超えて修正が困難な場合は、報告者と協議のうえ開示スケジュールを調整します。

5. Safe Harbor（安全港条項）

本ポリシーに従って善意で脆弱性を報告された方に対し、当社は法的措置を講じません。 以下の条件を満たす限り、セキュリティテストは許可された行為とみなします。

• 他のユーザーのデータにアクセス・変更・削除を行わないこと
• サービスの可用性を意図的に低下させないこと（DoS攻撃等の禁止）
• 発見した脆弱性を悪用しないこと
• 上記「開示タイムライン」を遵守し、修正前に情報を公開しないこと

6. 対象外

以下は本ポリシーの対象外とします。

• ソーシャルエンジニアリング攻撃
• 物理的なセキュリティテスト
• DoS / DDoS 攻撃
• 自動スキャンツールによる大量リクエスト

7. 関連情報

• Trust & Security
• プライバシーポリシー