完全な透明性への当社の取り組み

当社のシステム、製品、ネットワークインフラストラクチャで脆弱性を発見した場合は、当社の責任ある開示プログラムを利用して報告することができます。責任を持って脆弱性を開示いただけますよう、皆様のご協力をお願いいたします。

問題を報告するタイミング

ServiceNow が所有する資産で発見された脆弱性のみを報告してください。

対象範囲

ServiceNow は、当社のインフラストラクチャを積極的に監査することは容認していません。 ServiceNow の Web 上の資産の閲覧時に、disclosure@servicenow.com 宛に脆弱性を報告してください。以下のドメインで、ServiceNow が所有する製品、サービス、システムで発見された問題を開示いただけますようお願いいたします。

servicenow.com/jp/
.service-now.com

対象外

以下の脆弱性は、責任ある開示プログラムの対象外です。

承認されたテスト対象外のドメイン/サブドメイン
サービス拒否 (DoS) 攻撃に関連する脆弱性
自動化ツールやスキャンによって検出された脆弱性
ユーザーのコンピューターやデバイスへの物理的なアクセスが必要な脆弱性
ServiceNow パートナーサイトの脆弱性
スパムやソーシャルエンジニアリング技術
ServiceNow オフィスやデータセンターに対する物理的な攻撃

報告に関するガイドライン

提出された書類が適切に審査されるように、脆弱性を開示する際には、当社の推奨事項に従ってください。問題をできるだけ早く解決するためにご協力をお願いいたします。

ガイドラインを見る

脆弱性についてご報告いただく際は、以下のガイドラインに従ってください。

潜在的なセキュリティの問題をできるだけ早く報告してください。 ServiceNow は、問題を迅速に解決するためにあらゆる努力を尽くします。
概念実証を含む、脆弱性を再現するために十分な詳細を提供してください。
ReproNow を使用して問題の再現性を示すことが奨励されますが、必須ではありません。
ServiceNow がその問題を解決するまで、公衆や第三者に問題を開示しないでください。
プライバシー違反、データの破棄、当社サービスの中断または低下を防止するために、誠実な努力をお願いします。必ず自分が所有しているアカウントか、アカウント名義人の明示的な許可を得たアカウントのみで操作してください。
プログラムや ServiceNow の顧客の特定につながる表現や画像を、解決済みの脆弱性情報から消してください。
停止テスト(DoS など) や、情報やシステムの機密性、完全性、可用性に影響を与える可能性のあるアクションを実施しないようにしてください。
顧客や従業員のソーシャルエンジニアリングやフィッシングには関与しないでください。
責任ある開示プログラムによる、時間や資材への支払い、検出された脆弱性への補償を要求しないでください。