セキュリティ報奨プログラム

QNAPは情報セキュリティに対して妥協することなく取り組んでおり、セキュリティ調査コミュニティーと共に当社のユーザーや製品、インターネットをより安全に保つために脆弱性の検出と修正をおこなっています。QNAPはセキュリティ報奨プログラムを通して、皆さんの貢献に感謝の意を表し報奨金を贈呈いたします。

プログラムの範囲

セキュリティ報奨プログラムは、QNAP製品およびサービスで発見された脆弱性のみ受けつけています。範囲外の脆弱性は奨励金の対象とはなりませんが、状況に応じて重大な脆弱性が報告された場合は例外もあります。

  • オペレーティングシステム

    QTS、QuTS hero、QuTScloudを含む

  • アプリケーション

    QNAPが開発したアプリケーションを含む

  • クラウドサービス

    QNAPが提供するクラウドサービスを含む

脆弱性を報告し報奨金を得る方法とは?

下記のPGP暗号公開鍵を使って電子メールを暗号化してから、security@qnap.com宛にご送信ください。当社から迅速にご連絡いたします。

脆弱性レポートの推奨フォーマット

PGP暗号鍵

報奨対象の資格

  • 脆弱性の報告は調査を実施した本人に限ります。

  • 脆弱性に関するファイルや詳細は一般に共有されていないものに限ります。これには一般にアクセス可能なウェブサイトへのアップロードも含まれています。

  • 報告された脆弱性はQNAP PSIRTチームによって検証可能で、再現性があると、認められたセキュリティ問題に限ります。

  • セキュリティ報奨プログラムの利用規約すべてに同意されるものとします。

報奨金は以下に基づきます。

  • フォーマットの整合性:オペレーティングシステム、アプリケーション、クラウドサービスにおける脆弱性を報告する場合は、フォーマット例に準拠した詳細な情報を提供してください。フォーマット例:オペレーティングシステムアプリケーションクラウドサービス

  • 再現するための手順:脆弱性を再現するための手順を記述してください。

  • 問題の説明:トラブルシューティングとそのアプローチを明確かつ簡潔に記述してください。

  • その他の補足情報:テスト用コードやスクリプトなど、説明に必要なものをすべて含めてください。

  • 攻撃の生データ(負荷の実績):データ整合性の確認には、文字形式でのレポートが必要です。ネットワークの負荷が画像のみで提供された場合、QNAP PSIRTが望む脆弱性評価条件には満たない恐れがあります。

よくあるご質問

報奨金は脆弱性を発見した際の複雑さや、情報漏洩の可能性、影響を受けるユーザーおよびシステムの割合によって決定されます。

脆弱性が発見された方法を当社が理解する助けとなるビデオであれば、結果としてQNAP報奨委員会からの報奨が増える可能性があります。なお、脆弱性発見プロセスを管理する上で必要となりますので、文章によるドキュメント(例:製品情報、脆弱性の概要、再現する手順)は必ず提出をお願いいたします。

脆弱性レポートには少なくとも製品名、バージョン、脆弱性の存在するビルド番号、またはクラウドサービスのURLに関する情報を含めてください。 また、再現手順の明確な記載と共に、脆弱性によって生じる脅威の可能性の概要も示されるものとします。さらに、レポートには脆弱性のデモを記録したビデオを添付できます。

QNAPが提供するPGPキーを使ってレポートを暗号化し、 security@qnap.com宛にお送りください。システムから自動的にテクニカルサポート番号が返信されますので、審査の進捗状況を問い合わせることができます。QNAP PSIRTチームは、申請された情報の整合性を確認するために、調査された方へご連絡を差し上げます。必要な情報がすべて提供されると、調査された方にQNAP PSIRT脆弱性確認レターを1週間以内に送付いたします。レターには報告されたセキュリティ問題に対して付与されたCVE IDも記載されています。報奨金の提案については、脆弱性確認レターの日付から4週間後で電子メールにて通知されます。調査された方が同意されると、QNAPが確認の返信を受信してから12週間後に支払いが行われます。

最新の製品セキュリティニュースを受け取るためにQNAP eNewsを購読してください

仕様を選択

      もっと見る 閉じる

      当ページを他の国/地域で見る:

      気軽にお問い合わせ! show inquiry button
      open menu
      back to top