プログラム規約テンプレート
日本語版(正文)
Section titled “日本語版(正文)”1. プログラムについて
Section titled “1. プログラムについて”(1) 概要
Section titled “(1) 概要”[クライアント名](以下「当社」といいます。)のバグバウンティプログラム(以下「本プログラム」)の適用範囲は、「対象スコープ」に記載されています。対象外の報告は、内容に関わらずクローズされます。脆弱性を発見し報告する前に、本プログラム規約(以下「本規約」)を読み、同意する必要があります。
(2) プログラム参加資格
Section titled “(2) プログラム参加資格”本プログラムに参加するためには、以下の条件を満たす必要があります。
- 18歳以上であること
- 報告時において当社又は当社の子会社の従業員でないこと(過去の従業員も含む)
- 報告時において業務委託契約、出向契約、派遣契約等の契約形態により、当社又は当社の子会社の業務に従事していないこと
- 日本語又は英語でコミュニケーションできること
- 日本が輸出制裁やその他の貿易制限を発動している国の居住者でないこと、又はその国から提出されたものでないこと
- BBHunt Japanの利用規約に同意すること
- BBHunt Japanの本人確認(KYC)プロセスを完了していること
- 報奨金の受領のために、有効なPayPalアカウントを登録し、確認を完了していること
上記の資格要件を満たさない場合又は報告者のプログラムへの参加が当社や当社の関連会社又は当社のお客様、従業員もしくは代理人に悪影響を及ぼす恐れがあると当社が判断した場合、当社は独自の裁量で報告者を本プログラムから除外し、報告者が本プログラムから何らかの利益を受ける資格を喪失させることができるものとします。
2. 対象スコープ
Section titled “2. 対象スコープ”(1) 対象となるシステム
Section titled “(1) 対象となるシステム”[対象となるシステムのリストを記載]
例:
- https://example.com
- https://api.example.com
- モバイルアプリケーション(iOS版/Android版)
(2) 対象となる脆弱性の種類
Section titled “(2) 対象となる脆弱性の種類”[対象となる脆弱性の種類を記載]
例:
- クロスサイトスクリプティング(XSS)
- クロスサイトリクエストフォージェリ(CSRF)
- SQLインジェクション
- 認証/認可の欠陥
- サービス拒否攻撃(DoS)
(3) 対象外の脆弱性
Section titled “(3) 対象外の脆弱性”[対象外の脆弱性を記載]
例:
- DoS攻撃を伴う脆弱性
- スパム又はソーシャルエンジニアリング
- 既知の脆弱性で既に修正済みのもの
- セキュリティ上の影響がないと判断される問題
3. ルール
Section titled “3. ルール”- 当社と報告者の間でのやり取りにおいて、お互いに敬意を払うこと
- 報告に対する質問に対し、誠意を持って説明いただくこと
- 当社のお客様に対する悪影響を避ける為、診断時には十分な注意を払っていただくこと
- 確証が持てない場合はすぐに診断を中止すること
- 診断を行うにあたり、有害となりうる何らかの行為が必要な場合、当該行為の前に潜在的な発見を提出し、当社に許可を得てください。当社の明確な許可なしに、有害な可能性のあるアクションを行わないでください
- 悪意を持って脆弱性を利用する行為
- 自動化されたスキャナーやツールからレポートを提出する行為
- 対象スコープ以外の調査
- 当社の同意なしに報告を公表又は第三者に共有する行為
- 当社の従業員やお客様、パートナー等に対するいかなる形のソーシャルエンジニアリングに参加すること
- 発見した時よりもシステムを脆弱にする行為
- システムにアクセスするために、認証情報を総当たり又は推測する行為
- 診断中に当社の従業員やお客様、パートナー等を巻き込んだり、ターゲットにする行為
- 当社の明確な事前の明示的な同意なしに、脆弱性を公開する行為
- 自分以外の個人情報又はその他の機密データを持つ可能性のあるデータを抽出、ダウンロード、又はその他の方法で流出させる行為
- プライバシー侵害とみなされること、データの破壊を引き起こすこと、又は当社のサービスを中断又は低下させるような行為
- 自らが所有していないアカウントとやり取りを行う行為
- その他BBHunt Japanの利用規約で禁止されている行為
4. 報奨金
Section titled “4. 報奨金”(1) 報奨金の種類
Section titled “(1) 報奨金の種類”本プログラムでは、以下の深刻度に基づいて報奨金を支払います。
| 深刻度 | 報奨金額 |
|---|---|
| 緊急(Critical) | [金額]円 |
| 高(High) | [金額]円 |
| 中(Medium) | [金額]円 |
| 低(Low) | [金額]円 |
(2) 報奨金の支払い方法
Section titled “(2) 報奨金の支払い方法”報奨金は、BBHunt Japanプラットフォームを通じて支払われます。報告者は、BBHunt Japanの利用規約に定める方法により、報奨金を受け取ることができます。
報奨金の支払いフローは以下の通りです。
- クライアントが本サービス上で報告者への報奨金の授与手続きを行います。
- 報奨金及び報奨金手数料を含むPayPal請求書が自動的にクライアントに送信されます。
- クライアントがPayPal請求書を支払います。
- BBHunt Japanが報告者に対して報奨金をPayPalにより支払い、BBHunt Japanは報奨金手数料を受領します。
- 報告者が報奨金の支払いを受けた時点で、一連の取引が完了します。
報奨金の支払いにあたり、当社はBBHunt Japanに対して報奨金手数料(報奨金の20%相当額及び消費税相当額)を支払います。報奨金手数料は当社が負担するものであり、報告者の報奨金から控除されるものではありません。
(3) 報奨金の対象外
Section titled “(3) 報奨金の対象外”以下の場合は、報奨金の対象外となります。
- 既に当社が同様の報告を受け取っている、もしくは既知である場合
- 対象スコープ以外の報告
- 再現できない脆弱性
- セキュリティ上の影響がないと判断される問題
5. 情報開示方針と守秘義務
Section titled “5. 情報開示方針と守秘義務”バグバウンティプログラムに関連して、報告者が当社、当社の関連会社、又は当社のお客様、顧客、従業員等について受信、アクセス、又は収集したデータは、当社の機密情報とみなされます。
機密情報は、機密を保持し、以下のの場合にのみ使用する必要があります。
- 当社に開示するため
- 提出された報告に関連して、当社が要求する可能性がある追加情報を提供するため
それ以上の機密情報の使用又は利用は認められません。当社の要求に応じて、報告者はあらゆるシステム及びデバイスの全ての機密情報を永久に消去するものとします。
また、報告者は当社の事前の明示的な同意なしに、報告に関する一切の機密情報も使用、開示、配布することはできません。
6. 法的事項及びセーフハーバー
Section titled “6. 法的事項及びセーフハーバー”(1) セーフハーバー(安全な港)
Section titled “(1) セーフハーバー(安全な港)”当社は、BBHunt Japanの利用規約及び本プログラムの規約に従い、誠実に行われた脆弱性の診断及び報告については、許可された行為とみなされ、当社は報告者に対して法的措置を行わないものとします。
セーフハーバーの保護を受けるためには、報告者は以下の条件を満たす必要があります。
- BBHunt Japanの利用規約を遵守すること
- 本プログラムの規約を遵守すること
- スコープ内の対象システムに対してのみ脆弱性の診断を行うこと
- 本プログラムの禁止事項を遵守すること
- 脆弱性の情報を当社の事前の書面による同意なしに公開しないこと
報告者の活動が上記の条件に遵守していない場合、セーフハーバーは適用されません。
(2) 免責
Section titled “(2) 免責”本規約に基づいて行われた活動に対し、第三者によって報告者に対して法的措置が開始された場合、当社は報告者の行為が本規約を遵守して行われたことを表明するものとします。
報告者の活動が本規約に遵守していない場合、当社は全ての法的権利を保持します。
提出物を提出することにより、報告者は、提出物が報告者のオリジナルであり、提出物を提出する権利を有していることを表明し、保証するものとします。提出物を提出することにより、報告者は、提出物をいかなる目的にも使用する権利を当社に与えたものとします。
また、当社は本規約を変更する権利を有し、本プログラムへの参加は全ての規約に同意したものとみなされます。当社は本規約を定期的に更新しており、これらの条件は掲載された時点で有効となり、報告者はそれに同意するものとします。
7. 報告について
Section titled “7. 報告について”(1) レポートの品質
Section titled “(1) レポートの品質”高品質な報告は、当社が問題をより良く理解し、適切なチームに修正を依頼することができるだけではなく、追加の質問を削減することができる為、報告者の負担削減にも繋がります。
- 報告を書き始める前に、スコープを確認し、本プログラムのスコープ内にあることを確認してください
- 当社が問題を再現できるよう、できるだけ多くの明確な詳細を提供してください。再現できるほど情報がないと当社が判断した報告はクローズされます
- 画像や動画のみの報告はクローズされます
- 必要な場合を除き、一つの報告につき一件の脆弱性を提出してください
- 脆弱性は、検証可能かつ再現可能でなければ、対象範囲と見なされません
(2) 報奨金対象外
Section titled “(2) 報奨金対象外”既に当社が同様の報告を受け取っている、もしくは既知である場合及び、対象スコープ以外の報告については報奨金対象にならず、内容に関わらずクローズされます。

