脆弱性開示に関するサクソバンクグループのポリシー
当行では、当行のシステムやサービスについて真摯にとらえており、グローバルなセキュリティのコミュニティを尊重しています。セキュリティの脆弱性について責任を持って開示することは、当行のお客様、パートナー、従業員のセキュリティとプライバシー確保に役立ちます。
ガイドライン
問題を当行にご報告いただく際に以下のガイドラインに従って頂いた場合、当行は次に挙げたことをお約束いたします。
- 頂いた調査に関連した法的手段を目論んだり、支援したりしないこと
- 報告者と協力のうえ、問題を理解し迅速に解決すること(問題の送信後72時間以内に最初の確認を行うことを含みます)
- 初めて問題が報告された場合、その報告の貢献を認識し、問題に基づき、コードや設定を作成すること
調査を行う者全員に対し、当行は以下のことを求めます。
- セキュリティ分析中は、あらゆる努力を払い、プライバシー違反、ユーザーエクスペリエンスの悪化、本番運用中のシステムの中断、データの破壊を回避すること
- 以下に規定された範囲内でのみ分析を行うこと
- セキュリティ上の欠陥を脆弱性の存在を確認するために必要な検証作業においてのみ利用し、同作業の完了後は当該脆弱性を利用することはありません。
- データ漏洩、コマンドラインへのアクセス、持続性の確立、他のシステムへの展開等は行いません
- 脆弱性に関する情報を当行に報告するうえで、(以下に特定した)既定の連絡手段を使用すること
- 発見されたセキュリティに関する問題の疑いやセキュリティに関する実際の問題に関する情報を、問題解決にかかる90日間にわたりサクソバンクと当事者との間で一切の機密事項として扱うこと
範囲内のもの
- www.home.saxo
- Simulation SaxoInvestor
- Simulation SaxoTraderPRO
- Simulation SaxoTraderGO
- www.developer.saxoから直接、または、これを経由したSimulation SaxoOpenAPI
範囲外のもの
範囲から除外される、サードパーティのプロバイダーやサービスがホストしているあらゆるサービス。これらのサービスには次のものが含まれます。
- ニュースフィード
- 価格フィード
ユーザー、スタッフ、インターネット全般、および、セキュリティ研究者の安全のため、次のテストタイプは範囲内のものから除外されます。
- オフィスのアクセス(オープンドア、テールゲーティングなど)といった実際のテストから得られた所見
- 主としてソーシャルエンジニアリング(フィッシング、ビッシングなど)から派生した所見
- 「範囲内のもの」に挙げられていないアプリケーションやシステムから得られた所見
- UIやUXのバグ、スペルミス
- ネットワークレベルのサービスの妨害(DoS/DDoS)脆弱性
- クッキーに関する注意事項やセキュリティに関するヘッダーが記載されていない
- フォームスパミング
当行に次の情報を送信しないでください。
- 個人を特定できる情報(PII)
- 金融分野における個人情報(クレジットカード番号や銀行口座番号)
- 自動化されたスキャン用ツールからの結果
セキュリティ脆弱性の報告
当行の商品やプラットフォームでセキュリティに関する問題を見つけたと思われる場合は、security@saxobank.com 宛てにメールでお知らせください。報告される場合、次の詳細情報を記載してください。
- 問題のある箇所と見つかった問題がもたらす潜在的な影響に関する説明
- 頂いた所見を再現するうえで必要な手順に関する詳細な説明(POCスクリプト、スクリーンショット、圧縮された画面キャプチャといったものがあれば助かります)
- 表彰の際に表記するための報告者のお名前または仮名とリンク
情報を暗号化されたい場合は、当行のPGPキーをお使いいただけます。詳細はsecurity.txtをご覧ください。
開示に対するご協力について
サクソバンクグループでは、90日以内に脆弱性に対する改善を図ることを目指しています。ただし、問題が修正される前に脆弱性が公開された場合、リスク軽減よりも、かえってリスクが増大します。顧客保護のため、調査完了し、報告された脆弱性に対応してパッチ適用し、顧客へ通知するまでは(該当する場合)、潜在的な脆弱性に関する情報を投稿したり共有しないようにお願いいたします。
該当する場合、顧客へ検証済みの脆弱性に関する通知を実施します。当該開示はそれまで行わないようにお願いいたします。