脆弱性開示ポリシー

はじめに

JLLは、当社のパートナーと共に企業不動産の明るい未来を切り開くことに取り組んでいます。これには、当社の会社システムと当社のクライアントおよびパートナーが当社に委ねているデータを保護することが含まれます。このポリシーの目的は、セキュリティ調査担当者に脆弱性発見活動を実施する際の明確なガイドラインを提供するとともに、見つかった脆弱性をどのような方法で当社に提出するのが望ましいかを伝えることです。

JLLではバグ報奨金プログラムを運用していません。脆弱性を提出することで、報奨金の支払いを期待しないこと、およびお客様の提出物に関連してJLLに支払いを要求する権利を明示的に放棄することにお客様は同意するものとします。

このポリシーでは、このポリシーの適用対象となるシステムと調査の種類、当社への脆弱性レポートの送信方法、および当社がセキュリティ調査担当者に脆弱性を一般公開するまで待つようお願いする期間について説明します

当社は、当社システムの潜在的な脆弱性を報告するようお客様に奨励しています。

承認

お客様がセキュリティ調査を実施する際、このポリシーを遵守するために誠実に取り組む限り、当社はお客様の調査を承認されるものととらえ、問題を迅速に把握および解決するためにお客様と協力し、JLLはお客様の調査に関連する法的措置を推奨または追求しないものとします。お客様がこのポリシーに従って実施した活動に関して第三者がお客様に対して法的措置を起こした場合、当社はこの承認を公表するものとします。

ガイドライン

このポリシーでは、「調査」はお客様が実施する以下のような活動を意味します。

  • 実際の、または潜在的なセキュリティの問題を見つけた後、できる限り速やかに当社に通知する。
  • プライバシー違反、ユーザーエクスペリエンスの低下、実稼働システムの中断、データの破壊または操作を回避するためにあらゆる努力を払う。
  • エクスプロイトは脆弱性の存在を確認するためにのみ使用する。エクスプロイトを使用してデータを侵害または密かに抽出したり、永続的なコマンドラインアクセスを確立したり、エクスプロイトを使用して他のシステムを攻撃したりしないでください。
  • お客様が問題を公表する前に、問題を解決するための妥当な時間を当社に提供する。
  • 品質の低いレポートを大量に提出しない。

脆弱性が存在することの証明を完了するか、何らかの機密データ(個人識別情報、金融情報、機密情報、企業秘密)が見つかった場合、テストを停止して速やかに当社に通知し、このデータを他の誰にも開示しないでください

テスト方法

以下のテスト方法は承認されません。

  • ネットワークのサービス拒否(DoSまたはDDoS)テストまたはシステム/データへのアクセスを妨げたり、システム/データに損傷を与えたりするその他のテスト。
  • 物理テスト(オフィスアクセス、オープンドア、テールゲーティングなど)、ソーシャルエンジニアリング(フィッシング、ビッシングなど)、またはその他の非技術的な脆弱性テスト。
スコープ

このポリシーは、JLLが完全に所有および管理するシステムとサービスにのみ適用されます。

上記のリストに明記されていないサービス(何らかのコネクテッドサービスなど)はスコープから除外され、そのようなサービスに対するテストは承認されません。また、当社のベンダーのシステムで脆弱性が見つかった場合、そのような脆弱性はこのポリシーのスコープに含まれず、当該ベンダーの開示ポリシー(存在する場合)に従ってベンダーに直接報告する必要があります。システムがスコープに含まれているかどうかわからない場合は、vulndisclosure@jll.comまでお問い合わせください。

当社はその他のインターネットアクセス可能なシステムまたはサービスの開発および保守を支援できますが、積極的な調査およびテストはこのポリシーのスコープに含まれるシステムおよびサービスに対してのみ実施するようお願いいたします。スコープに含まれていない特定のシステムにテストを実施するメリットがあるとお考えの場合は、テストを実施する前に当社と話し合うためにご連絡ください。当社はこのポリシーのスコープを継続的に評価します。

このポリシーに従って提出された情報は、脆弱性を軽減または修復するという防衛目的にのみ使用されます。JLLだけでなく商品またはサービスのすべてのユーザーに影響を与える、新たに発見された脆弱性がお客様の発見事項に含まれている場合、当社はお客様のレポートアメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁と共有する場合があり、共有されたレポートは、同庁の調整された脆弱性開示プロセスで取り扱われます。当社が明示の許可なしにお客様の名前または連絡先情報を共有することはありません。

当社は脆弱性レポートをvulndisclosure@jll.comで受け付けます。レポートは匿名で提出できます。連絡先情報を教えていただければ、レポートを受領したことをお知らせします。

PGP暗号化メールには対応しておりません。

当社がお客様に期待すること

当社が提出されたレポートのトリアージと優先順位付けを簡単に行えるように、レポートでは以下のことを行うよう推奨します。

  • 脆弱性が見つかった場所とエクスプロイトの潜在的な影響について説明すること。
  • 脆弱性を再現するために必要な手順について詳しく説明すること(概念実証やスクリーンショットが役立ちます)。
  • 可能であれば英語で記述すること。
お客様が当社に期待できること

お客様の連絡先情報を教えていただければ、できる限りオープンかつ迅速にお客様との調整を行うことをお約束します。

  • 3営業日以内にお客様のレポートを受領したことをお知らせします。
  • 当社は全力で取り組むために、脆弱性の存在をお客様に確認し、修復プロセスで実施する手順について、解決を遅らせる可能性がある問題や課題を含め、できる限り透明性を確保します。
  • 問題について話し合うためのオープンな対話を維持します。
質問

このポリシーについてご質問がある場合は、vulndisclosure@jll.comまでお問い合わせください。また、このポリシーの改善案も歓迎いたしますので、当社までお知らせください。