En/Ja
問い合わせウェイトリスト

脆弱性開示ポリシー

制定:2026年5月16日

SynTopic株式会社(以下「当社」)は、当社サービスにおける潜在的なセキュリティ脆弱性を発見されたセキュリティ研究者および一般の方々からの報告を歓迎します。当社は、誠実なセキュリティ研究がお客様情報の保護と当社サービスの健全性向上に寄与することを認識しています。本ポリシーは、脆弱性の報告方法、対象範囲、および誠実な報告者に対して当社が約束する事項を定めます。

1. 報告方法

脆弱性報告は security@syntopic.io 宛にお送りください。当社が迅速にトリアージおよび修正対応を行えるよう、報告には以下を含めてください。

  • 脆弱性の説明と想定されるセキュリティ上の影響
  • 再現手順(必要な設定、入力値、アカウント状態を含む)
  • 影響を受けるURL、エンドポイント、または構成要素
  • 応答を希望される場合は、報告者の連絡先

PGP暗号化による送信にも対応します。最新の公開鍵については上記アドレスまでお問い合わせください。

備考:セキュリティ脆弱性ではない一般的なプロダクトフィードバック(UI の不具合、機能要望、通常の bug 報告など)は、beta.syntopic.io 内のプロダクト画面に用意されている「Report a Bug」機能をご利用ください。本ポリシーで定める報告窓口はセキュリティ脆弱性専用であり、知る必要のある担当者のみに監視範囲が限定されています。

2. 対象範囲

本ポリシーは、当社が運営する以下のアセットに適用されます。

  • マーケティングサイト(syntopic.io
  • ベータ版アプリケーション環境(beta.syntopic.io)およびそのAPI
  • github.com/syntopic 配下のソースコードリポジトリ

以下は対象外とします。

  • 当社が連携する第三者サービス(提供者に直接報告してください)
  • サービス拒否(DoS)攻撃または大量負荷攻撃、リソース枯渇攻撃を含む
  • 自動スキャナーの結果のみで、再現可能な影響を伴わない指摘
  • 当社の役員、従業員、または業務委託先に対するソーシャルエンジニアリング
  • 当社施設に対する物理的攻撃
  • 被害者の端末への物理的アクセスを必要とする報告

3. 対応コミットメント

当社は最善の努力に基づき、以下のタイムラインで対応します。

  • 初回受領確認:受領から5営業日以内
  • トリアージおよび重要度評価:10営業日以内
  • 状況更新:解決まで少なくとも30日ごとに連絡
  • 重要度別の目標修正タイムライン:Critical 30日、High 30日、Medium 60日、Low 90日、Informational は必要に応じて対応。これらは当社の社内 Operations Security Policy に準拠します。

4. 重要度分類

当社は重要度評価に CVSS v3.1 を用います。報告者は重要度を提案できますが、修正計画における最終的な参照判断は当社の評価とします。

5. セーフハーバー

以下を遵守する報告者に対して、当社は法的措置を講じず、またその支援も行いません。

  • 本ポリシーへの誠実な遵守努力
  • プライバシー侵害、データ破壊、サービス停止の回避
  • 当社システムとのやり取りに本ポリシー記載の方法のみを使用すること
  • 発見した脆弱性の実証に必要な範囲を超えた悪用をしないこと
  • 修正前に脆弱性詳細を公開しないこと(当社との明示的合意がある場合を除く)

本セーフハーバーは、当社が放棄する権限を有しない法令違反には適用されません。

6. 機密保持

当社は、報告者本人が同意しない限り、報告者の身元を機密として扱います。脆弱性の詳細は、修正に厳密に必要なベンダーまたはサービス提供者(いずれも秘密保持義務を負う者に限る)を除き、修正完了前に外部と共有しません。

7. 報告者の称賛

当社は現時点で金銭的報奨金プログラムを運営していません。有効な脆弱性を報告いただいた報告者は、ご本人の同意を得た上で、当社が管理する公開謝辞ページに掲載させていただく場合があります。

8. ベータ期間に関する注記

当社は現在ベータ版の段階にあります。本ポリシーに記載された報告ワークフローは、当社の担当者がメールおよび社内ツールを用いて運用しています。当社は将来、第三者の脆弱性開示プラットフォームへの移行を行う権利を留保しますが、その場合も本ポリシーに記載された約束は維持します。

SynTopic株式会社 代表取締役 瀬戸翔一