VDP — Vulnerability Disclosure Policy
脆弱性開示ポリシー
Makibaは、善意のセキュリティリサーチャーの皆様からの脆弱性報告を歓迎します。本ポリシーは、報告の対象範囲・連絡経路・当社からの応答方針を明らかにし、安心して報告していただくための前提を整えるものです。
最終更新日:2026年5月24日
1. 対象範囲 (In Scope)
以下の資産に対する脆弱性報告を歓迎します。
- ▸
https://makiba.churchおよび*.makiba.church配下のすべてのページ・API - ▸本サービスのソースコード (公開リポジトリの場合)
- ▸当社が運用するモバイル/Webアプリケーション
2. 対象外 (Out of Scope)
以下の事項は本ポリシーの対象外です。発見された場合は該当事業者へ直接報告してください。
- ▸基盤事業者 (Supabase / Vercel / Stripe) のインフラに関する脆弱性 — 各社の VDP / bug bounty プログラムへ
- ▸社会工学的攻撃 (フィッシング、なりすまし、当社従業員への接触)
- ▸物理的攻撃、データセンターへの侵入試行
- ▸DoS / DDoS 攻撃、サービスの可用性を意図的に損なう試験
- ▸パスワードポリシー単体に関する報告 (例: 「8文字でも通る」)、レート制限の閾値そのものへの異議
- ▸自動スキャナーの結果を手動検証せずに送信する報告
- ▸本サービスに影響しない第三者ライブラリの CVE 情報のみの報告
3. 報告方法
以下の経路でご連絡ください。
推奨フォーマット
- ▸ 脆弱性の概要 (1-3 行)
- ▸ 影響範囲・想定される攻撃シナリオ
- ▸ 再現手順 (画面遷移・リクエスト例)
- ▸ 推奨する修正方針 (任意)
- ▸ ご連絡先 (氏名・ハンドル・連絡可能なメール)
4. 当社からの応答時間
- 受領確認受信から 5 営業日以内 に返信
- 初期評価受領から 10 営業日以内 に重大度の見積もりと対応方針を共有
- 恒久対応重大度に応じて 24 時間 〜 30 日以内 に修正版をデプロイ
※ 当社は 1 人会社であり、夜間・休日対応は限定的です。緊急性の高い案件はメール件名に「至急」を付記してください。
5. 重大度の目安
CVSS スコアに加え、本サービスの取扱データ (要配慮個人情報を含む) の特性を踏まえて判定します。
| 重大度 | 例 | 対応期限 |
|---|---|---|
| Critical | 認証バイパス、テナント越境、RCE、要配慮情報の漏えい | 24 時間以内 |
| High | XSS (機微画面)、SQLi、権限昇格 | 7 日以内 |
| Medium | DoS、限定的情報開示、CSRF | 30 日以内 |
| Low | 微少な情報開示、UX 起因のセキュリティ低下 | 次回リリース |
6. 善意のリサーチャーへの保護 (Safe Harbor)
以下の条件を満たす善意の調査については、当社は法的措置を講じません。
- ▸本ポリシーに沿った報告であること
- ▸必要最小限の範囲・回数のテストにとどめ、サービスや他の利用者に害を与えないこと
- ▸取得した個人データ・機微情報を保持せず、悪用・第三者提供しないこと
- ▸当社が修正をデプロイし合意するまで、報告内容を公開しないこと
- ▸日本国内およびリサーチャーの居住国の法令を遵守すること
※ 上記を超える行為 (例: 他テナントのデータの大量取得、ユーザーへの直接接触、サービス停止を伴うテスト) は対象外です。
7. 報告者への謝辞
現在、金銭的なバグバウンティは提供していませんが、ご希望の方は本ページに謝辞としてお名前を掲載いたします。
これまでにご報告くださった方々
— (該当者なし。最初のご報告者になりませんか)
8. 法的注意事項
本ポリシーは、Makiba (Provato Works合同会社) との間の正式な契約を成立させるものではありません。本ポリシーの範囲・内容は予告なく変更される場合があります。
報告に関する判断 (重大度・対応方針・公開可否) は当社が行います。判断に異議がある場合は、改めてメールでご相談ください。
本ポリシーに関する解釈・適用については、日本法を準拠法とします。
セキュリティ全体像はセキュリティページをご参照ください。
← セキュリティに戻る