脆弱性報告ポリシー
ALAKI株式会社(以下「当社 」といいます。)は、当社が提供・運営するMONJI、MONJI+および関連するウェブサイト、アプリケーション、APIその他の情報システムの安全性向上を目的として、脆弱性に関する情報提供を受け付けています。
当社は、善意に基づく責任ある情報開示を尊重し、本ポリシーに従って行われたご報告について、合理的な範囲で誠実に確認・対応します。
1. 報告窓口
脆弱性に関するご報告は、以下の専用窓口にご連絡ください。
上記以外の窓口(お問い合わせフォーム、営業窓口、SNS、その他第三者経由を含みます。)へのご連絡は、確認および対応の遅延を招く可能性があるため、お控えください。
2. 対象範囲
本ポリシーの対象は、原則として、当社が管理・運営する以下の資産とします。
- monji.tech ドメイン配下の当社運営ウェブサイト
- MONJI
- MONJI+
- 当社が提供する関連する本番環境のウェブアプリケーション、APIおよび管理画面
なお、以下は対象外と する場合があります。
- 当社が管理していない第三者サービス
- 外部委託先等が単独で管理するサービス
- テスト環境、開発環境その他公開していない環境
- 当社が対象外であると合理的に判断した資産
3. ご報告に際してご提供いただきたい情報
ご報告にあたっては、可能な限り、以下の情報を記載してください。
- 対象となるURL、画面、機能名、APIエンドポイント等
- 脆弱性の概要
- 再現手順
- 想定される影響
- 非破壊的な概念実証(PoC)または参考情報
- 発見日時
- ご連絡先
- 当社、利用者または第三者のデータについて、閲覧、取得、改変、削除、保持または公開を行っていない旨の説明
必要な情報が不足している場合、当社による調査、判断または対応に時間を要する場合があります。
4. 許容される調査
以下の条件を満たす範囲での検証を許容します。
- 自身が管理するアカウントのみを使用すること
- 他の利用者または第三者へ影響を与えないこと
- 必要最小限の範囲で検証を行うこと
- 個人情報または機密情報にアクセスした場合は直ちに中止し報告すること
5. 秘密保持および公表の制限
当社は協調的開示を原則とします。
当社が修正または緩和策を提供するまで、または当社と合意した公開日までは、発見された脆弱性の内容、再現方法、検証コードその他関連情報を、第三者に開示し、または公表しないでください。
当社は、必要に応じて追加情報の提供、再現条件の確認その他合理的に必要な協力をお願いする場合があります。
6. 禁止事項
当社は、本ポリシーに基づく情報提供に関し、以下の行為を許可していません。
- 当社、利用者または第三者のデータへのアクセス、取得、改変、削除、保持または開示
- 権限昇格の試行
- 認証回避、セッション乗っ取りまたはアカウント乗っ取りの試行
- サービス停止、性能低下または過度な負荷を発生させる行為
- 破壊的または侵襲的なスキャン、過度な自動化アクセス
- ソーシャルエンジニアリング、フィッシング、なりすまし、物理的攻撃
- マルウェアの送信、設置または実行
- スパム送信、フォーム濫用、大量投稿その他これらに類する行為
- 法令、契約または第三者の権利を侵害する行為
- 当社の書面承諾または合意した公開日以前に、脆弱性情報を公開または第三者へ共有する行為
- 当社が不適切と判断するその他の行為
脆弱性の確認は、必要最小限かつ非破壊的な方法に限って行ってください。
7. 当社の対応方針
当社は、受領した報告について、原則として以下の対応を行います。
- 受領後7営業日以内を目安とした受領確認
- 内容確認およびトリアージ
- 必要に応じた追加情報の依頼
- 妥当性が確認された場合の修正、軽減措置またはその他必要な対応の検討
- 対応完了後の連絡(必要に応じて)
ただし、報告件数、内容の複雑性、調査状況その他の事情により、上記対応に時間を要する場合があります。
8. 報酬等
当社は、脆弱性報告に対して、報酬、謝礼、対価、費用負担その他いかなる金銭的給付も行いません。
報告者は、本ポリシーに基づく情報提供が無償で行われることを理解し、これに同意するものとします。
当社は、報告に関連して発生したいかなる費用、損害、逸失利益その他の請求についても、一切の責任を負いません。
また、報告者は、事前の書面による合意なく、当社に対して報酬その他の対価を請求しないものとします。
9. 免責および権利留保
本ポリシーは、当社システムに対する無制限の検査、アクセス、侵入、データ取得、負荷試験その他の行為を許諾するものではありません。
当社は、本ポリシーに反する行為、違法行為または当社もしくは第三者に損害を生じさせるおそれのある行為に対して、必要かつ適切な措置を講ずる権利を留保します。
当社は、第三者のシステム、サービスまたは権利に関して、いかなる許可または保護も提供するものではありません。
10. 謝辞
当社は、善意に基づく適切なご報告に感謝します。必要に応じて、報告者の同意を得たうえで、謝辞を掲載する場合があります。
11. 改定
当社は、本ポリシーの内容を、必要に応じて予告なく変更することがあります。最新の内容は本ページに掲載します。
12. セーフハーバー(免責)
報告者が本ポリシーを遵守し、善意に基づき当社の対象範囲内で行動した場合、当社は当該行為について民事請求または刑事告発を行わない方針とします。
ただし、本ポリシーに違反する行為、悪意ある行為、第三者のデータまたはシステムへの侵害が認められる場合はこの限りではありません。
最終更新日:2026年4月20日