脆弱性開示ポリシー

このポリシーは、合法的なセキュリティ調査員に、脆弱性検出活動のための明確なガイドラインを提供し、検出された脆弱性の報告提出方法に関するPacific Gas Electric Company（「PGE」）の希望を伝えることを意図しています。

ここでは、このポリシーが適用されるシステムおよび調査の種類、脆弱性報告書の提出方法、脆弱性を公表する前のセキュリティ調査員の待機期間について説明します。

弊社システムの潜在的脆弱性報告に関しては、以下のプロトコルに従って弊社に連絡を取るようお勧めします。

承認

セキュリティ調査中にこのポリシーへの準拠に対して誠実な取り組みが見られると判断された場合、弊社はセキュリティ調査を承認し、問題の迅速な理解と解決のため、協力して取り組みます。PG&Eでは、このポリシーに従って実行されたセキュリティ調査に関連する法的措置は推奨していません。調査員は、常に適用されるすべての法規への準拠を期待されます。

ガイドライン

このポリシー下では、「調査」とは以下のような活動を指します。

• 現実のセキュリティ問題または可能性を検出した場合、弊社に即座に通知する。
• プライバシーの侵害または開示、ユーザー体験の低下、生産システムの中断、またはデータの破壊や操作の回避に向けて努力する。
• 脆弱性の存在確認に必要な場合にのみ、セキュリティ上の弱点を使用する。セキュリティ上の弱点をデータの漏洩または抜き取り、永続的なコマンドラインアクセスの確立、または他のシステムへの方向転換に使用しないでください。
• 問題の公表前に、問題解決のための適切な時間を弊社に提供する。
• 低品質の報告書を大量に提出しないでください。

脆弱性の存在の確認、非公表または機密データ（個人特定可能情報、財務情報、専有情報、または任意企業の企業秘密を含む）に遭遇した場合、調査を停止して即座に弊社に通知し、この脆弱性またはデータを開示しないことに同意する必要があります。

テスト方法

以下のテスト方法および調査は承認されていません。

• サービス（DoSまたはDDoS）のネットワーク拒否テスト、またはシステムやデータへのアクセスを妨害したり損傷を与えたりするその他のテスト
• 物理的テスト（例：オフィスへのアクセス、オープンドア、テールゲーティング）、ソーシャルエンジニアリング（例：フィッシング、ビッシング）、またはその他の技術系以外の脆弱性テスト
• ウェブサイトの書き換えまたは改ざん
• 金銭を要求したり、情報を開示するよう脅したりするあらゆる種類の強要
• アプリケーションやサービステストを実行するための不当な数のアカウントの作成

範囲

システムやサービスを調査範囲に追加する前に、そのシステムやサービスを使用したセキュリティテストの実施が許可または承認されていることを確認してください。たとえば、マネージドサービスプロバイダーまたはサービスとしてソフトウェアを使用する場合、調査当局とプロバイダーの契約書にそのような承認が存在する、または公表されているポリシーに記述されていることなど、ベンダーがそのようなテストを明示的に承認していることを確認します。 そうでない場合、ベンダーから明示的な承認を取得する必要があります。ベンダーからの承認の取得が可能でない場合、システムやサービスを調査対象に含めることはできません。

このポリシーは、次のシステムおよびサービスに適用されます。

• pge.com
• guide.pge.com
• recreation.pge.com
• esft.pge.com
• lyncdiscover.pge.com
• safetyactioncenter.pge.com
• wbt.firstresponder.pge.com
• *.pge.com

何らかの接続サービスなど、上記で明示的に記載されていないサービスについては、このポリシーの範囲から除外され、そのためのテストや調査は承認されません。さらに、ベンダーからのシステムで検出された脆弱性がこのポリシーの適用範囲外の場合は、ベンダーの開示ポリシー（存在する場合）に従ってベンダーに直接報告する必要があります。システムが適用範囲内にあるかどうかわからない場合は、調査開始前にpgecirt@pge.comを通じて弊社にご連絡ください（または.gov WHOISにリストされているシステムのドメイン名のセキュリティ連絡先）。

弊社は他のインターネットでアクセス可能なシステムやサービスを開発および保持していますが、実際の調査やテストは、本書の適用範囲内のシステムおよびサービス上でのみ実践されることを希望、想定しています。適用範囲外の特定システムに対して、テストの価値があると思われる場合は、まず弊社にご相談ください。このポリシーの適用範囲を拡張する場合もあります。

脆弱性の報告

このポリシーの適用下で提出された脆弱性情報は、脆弱性の緩和または修正など、防御目的のみに使用されます。報告結果の中に、製品やサービスの全ユーザーに影響を与え、PG&E以外にも影響を及ぼす脆弱性が新たに検出された場合、報告書はCybersecurity and Infrastructure Security Agencyと共有され、同組織の下で取り扱われます。明示的な許可なく、調査員の氏名または連絡先を共有することはありません。報告書は匿名による提出も可能です。連絡先情報を共有する場合、3営業日以内に報告の受理をお知らせするよう努力します。

脆弱性報告書を提出することで、支払は行われず、アメリカ合衆国政府に対して、その提出に関連するいかなる将来的な支払要求も明示的に放棄することに同意するものとします。

調査員から期待すること

報告書の評価および優先割り当てのために、まずpgecirt@pge.comに電子メールで連絡を取り、以下の項目を含めることをお勧めします。

• 脆弱性、その範囲、重要度の詳細な説明。
• 脆弱性のドメイン位置およびセキュリティ上の弱点の潜在的影響。

初期情報を確認した後、暗号化された電子メールをお送りしますので、脆弱性の再現に必要な手順の包括的説明を含む具体的な詳細を返信してください（概念実証のスクリプトまたはスクリーンショットが役に立ちます）。

弊社に期待できる内容

このポリシーに従って本プログラムに脆弱性報告書を提出する際、できる限り率直および迅速に対応します。

• 3営業日内に、報告書の受理を通知する努力をします。
• 可能な限り脆弱性の存在を確認し、解決の遅延をもたらす可能性のある問題や難題を含む修正プロセス中に取る手順について透明性を示します。
• 問題を議論するために公開討論を維持します。

開示料の裁量は、独占的にPG&Eに委ねられていますが、制裁リストに載っている個人または制裁リストに載っている国（キューバ、イラン、北朝鮮、スーダン、シリアなど）にいる個人に対し、PG&Eはいかなる状況であっても開示料を支払うことはありません。

脆弱性開示プログラムの法関連情報

調査員の居住地または勤務地に適用される現地法によっては、開示済み脆弱性を提出する資格が制限される可能性があることに留意してください。

このポリシーは随時変更可能で、このプログラムは随時キャンセル可能です。開示料を支払うかどうかの裁量はPG&Eのみに委ねられています。