実務テンプレ

Vulnerability Disclosure Policy雛形
(そのまま使える公開脆弱性受付文面)

脆弱性の報告窓口を公開していないと、研究者や取引先は「どこに連絡すればいいのか」が分かりません。

CISAは脆弱性開示ポリシー(VDP)が、何が対象か、どう送るか、どう対応するか を明確にし、報告者に期待値を示すものだと整理しています。
さらに CISA の BOD 20-01 では、公開ポリシーに対象範囲、報告方法、対応の考え方を含めること、そして報告の追跡、内部調整、優先順位付け、コミュニケーション、目標時間(timelines)を定めることが求められています。

FIRST の PSIRT Services Framework でも、PSIRTは明確な連絡チャネルを公開し、好ましい報告手段を定義し、psirt@security@ のような共通窓口を用意し、暗号化された報告手段を推奨し、迅速に受領確認を返すべきと整理されています。

導入(全体フローの確認)

VDPの前提となる、社内のPSIRT体制(受付から回答までの流れ)全体を先に押さえたい方はこちら。

そのまま使える:Vulnerability Disclosure Policy雛形

使い方: 以下をそのままWebページ(例:https://example.com/vulnerability-disclosure-policy)に貼り、【 】だけ置き換えてください。

# Vulnerability Disclosure Policy(脆弱性開示ポリシー) 【会社名】は、当社製品・サービスの安全性向上のため、善意の脆弱性報告を受け付けます。 本ポリシーは、どの範囲の報告を対象とし、どのように連絡いただき、当社がどのように対応するかを示すものです。 ## 1. 対象範囲 本ポリシーの対象は、当社が提供する【対象製品/サービス/ドメイン】です。 対象外:第三者が管理するサービス、サポート終了品、【必要なら明記】## 2. 報告方法 脆弱性報告は、以下のいずれかの方法でお送りください。 - メール:【security@example.com / psirt@example.com】 - Webフォーム:【URL】 - 暗号化連絡先(任意):【PGP鍵URL / S/MIME案内】 報告時には、可能な範囲で次を含めてください。 - 対象製品名 / バージョン - 脆弱性の概要 - 再現手順 - 影響範囲 - 参考資料(ログ、画面、PoC等) ## 3. 研究者へのお願い - 個人情報や機密情報の取得・保持・公開は行わないでください - サービス停止を引き起こす負荷試験(DoS/DDoS等)は行わないでください - 脆弱性の存在確認に必要な最小限の検証に留めてください - 機密データや予期しないデータに触れた場合は直ちに停止し、ご連絡ください - 公開前に、当社へ合理的な修正猶予を与えてください ## 4. 当社の対応 - 受領確認:原則【1〜3営業日以内】 - 調査中の場合:次回更新予定日をお知らせします - 必要に応じて追加情報の提供をお願いすることがあります - 修正・緩和・公開のタイミングは、影響度と関係者調整を踏まえて判断します ## 5. 免責・注意事項 本ポリシーは、善意かつ本ポリシーに沿った検証を対象とします。 違法行為、過剰な検証、第三者への影響を伴う行為は許容されません。 ## 6. 公表方針 当社は、必要に応じて報告者と調整の上で脆弱性情報を公表します。 謝辞掲載の可否は、個別にご相談します。 ## 7. 連絡先 【会社名 / 部署名 / 住所(任意) / 問い合わせ窓口】

使い方のコツ(運用で詰まらないために)

1. 対象範囲は“広すぎず狭すぎず”

「全部対象」は現場が破綻しやすく、「一部だけ」は報告が迷子になりやすいです。まずは公開している主要製品/サービスに絞ると運用しやすいです。CISA の VDP テンプレートでも、どのシステムが in-scope か を明示することが重要とされています。

2. 受領確認SLAを必ず書く

FIRST は、受領確認そのものはすぐでき、信頼関係づくりに重要だとしています。また、外部からの報告への応答時間は社内SLAで定義すべきだとも述べています。

3. 暗号化手段を用意する

PSIRT には機密情報が届く前提なので、FIRST は PGP/S/MIMEやHTTPSフォーム のような安全な送信手段を推奨しています。

4. security.txt も併用すると見つけてもらいやすい

RFC 9116 は、脆弱性報告先やポリシーを機械可読に公開するための security.txt を定義しており、ContactPolicyExpires などの項目を持ちます。ContactExpires は必須で、Policy で VDP ページへ案内できます。

用語の補足

VDPの運営主体となる「PSIRT」の役割を短く整理したい方はこちら。

security.txt 最小例(コピペ用)

自社ドメインの /.well-known/security.txt に以下の内容を配置します。

Contact: mailto:security@example.com Policy: https://example.com/vulnerability-disclosure-policy Expires: 2026-12-31T23:59:59Z Preferred-Languages: ja, en

外部からの脆弱性報告を適切にさばく「自社向けトリアージの判断基準」を整理したい方はご相談ください。

【無料】オンライン相談を予約する

よくあるNG例(VDPが機能しなくなる原因)

  • 連絡先が個人メールのみ
    → 異動・退職で対応が死にます。psirt@ / security@ など共有窓口に寄せます。
  • SLA(返信目安)が書いていない
    → 報告者の不信感が上がります。受領確認だけでも明記します。
  • 禁止事項だけが長い
    → “報告してよいのか”が分からず、善意の報告を逃します。CISA テンプレートのように、歓迎姿勢と期待値をセットで書きます。
  • security.txt が古い(期限切れ)
    → RFC 9116 は Expires を必須とし、1年以内の更新を推奨しています。

FAQ:VDP(公開ポリシー)について

Q1. VDPとバグバウンティは同じですか?

いいえ。VDPは「脆弱性報告の受け付け方と対応方針」を定めるもので、報奨金の有無は必須ではありません。CISAのVDPテンプレートも、まずは報告経路と範囲、対応方針を明確にすることに重点があります。

Q2. 公開ページだけで十分ですか?

実務では、公開ページに加えて security.txt を置くと、研究者や自動ツールが報告先を見つけやすくなります。RFC 9116 がそのための形式を定めています。

Q3. 日本語だけでよいですか?

日本語主体でも構いませんが、RFC 9116 には Preferred-Languages があり、英語併記も可能です。海外からの報告の可能性があるなら、最低限の英語表記もあると安全です。

報告を受けた後の「トリアージ」、自動化しませんか?

外部から届いた脆弱性報告を、素早く自社のSBOMと照らし合わせて影響を判定する。
Auto PSIRT Cloudなら、そのトリアージ業務をAIが自動でサポートします。

CVEトリアージと影響判定のデモを見る