概要


このポリシーは、合法的なセキュリティ調査員に、脆弱性検出活動のための明確なガイドラインを提供し、検出された脆弱性の報告提出方法に関するPacific Gas & Electric Company(「PG&E」)の希望を伝えることを意図しています。


ここでは、このポリシーが適用されるシステムおよび調査の種類、脆弱性報告書の提出方法、脆弱性の公表前のセキュリティ調査員の待機期間について説明します。


弊社システムの潜在的脆弱性報告に関しては、以下のプロトコルに従って弊社に連絡を取るようお勧めします。



承認

セキュリティ調査中にこのポリシーへの準拠に対して誠実な取り組みが見られると判断された場合、弊社はセキュリティ調査を承認し、問題の迅速な理解と解決のために協働します。PG&Eでは、このポリシーに従って実行されたセキュリティ調査に関連する法的措置は推奨していません。調査員は、常に適用されるすべての法規への準拠を期待されます。



ガイドライン

このポリシー下では、「調査」とは以下のような活動を指します。

  • 現実のセキュリティ問題または可能性を検出した場合、弊社に即座に通知する。
  • プライバシーの侵害または開示、ユーザー体験の低下、生産システムの中断、またはデータの破壊や操作の回避に向けて努力する。
  • 脆弱性の存在確認に必要な場合にのみ、セキュリティ上の弱点を使用する。セキュリティ上の弱点をデータの漏洩または抜き取り、永続的なコマンドラインアクセスの確立、または他のシステムへの方向転換に使用しないでください。
  • 問題の公表前に、問題解決のための適切な時間を弊社に提供する。
  • 低品質の報告書を大量に提出しないでください。

脆弱性の存在の確認、非公表または機密データ(個人特定可能情報、財務情報、専有情報、または任意企業の企業秘密を含む)に遭遇した場合、調査を停止して即座に弊社に通知し、この脆弱性またはデータを開示しないことに同意する必要があります。



テスト方法

以下のテスト方法および調査は承認されていません

  • システムやデータへのアクセスの機能障害または損害をもたらすネットワークサービス妨害(DoSまたはDDoS)テスト、
  • 物理的テスト(たとえば、オフィスアクセス、門戸開放、共連れなど)、社会工学(たとえば、フィッシング詐欺、ビッシング詐欺など)、または他の非技術的な脆弱性テスト
  • webサイトの改ざんまたは変更
  • 金銭要求または情報開示脅迫などによる恐喝
  • アプリケーションおよびサービスに対するテスト事項のために不適切な数の口座の作成



調査対象

調査対象にシステムまたはサービスを追加する前に、そのシステムやサービスを使用してセキュリティテストを実行する許可または承認を受けていることを確認します。たとえば、マネージドサービスプロバイダーまたはサービスとしてソフトウェアを使用する場合、調査当局とプロバイダーの契約書にそのような承認が存在する、または公表されているポリシーに記述されていることなど、ベンダーがそのようなテストを明示的に承認していることを確認します。そうでない場合、ベンダーから明示的な承認を取得する必要があります。ベンダーからの承認の取得が可能でない場合、システムやサービスを調査対象に含めることはできません。


このポリシーは、以下のシステムおよびサービスに適用されます。

  • pge.com
  • guide.pge.com
  • recreation.pge.com
  • esft.pge.com
  • lyncdiscover.pge.com
  • safetyactioncenter.pge.com
  • wbt.firstresponder.pge.com
  • *.pge.com

接続済みサービスなど上記に明確に記載されていないサービスは、このポリシーの適用範囲から除外され、テストや調査の承認は受けられません。さらに、ベンダーからのシステムで検出された脆弱性がこのポリシーの適用範囲外の場合は、ベンダーの開示ポリシー(存在する場合)に従ってベンダーに直接報告する必要があります。システムが適用範囲内かどうかわからない場合は、調査開始前にpgecirt@pge.comを通じて弊社にご連絡ください(または.gov WHOISにリストされているシステムのドメイン名のセキュリティ連絡先)。


弊社は他のインターネットでアクセス可能なシステムやサービスを開発および保持していますが、実際の調査やテストは、本書の適用範囲内のシステムおよびサービス上でのみ実践されることを希望、想定しています。適用範囲外の特定システムに対して、テストの価値があると思われる場合は、まず弊社にご相談ください。このポリシーの適用範囲を拡張する場合もあります。



脆弱性の報告

このポリシーの適用下で提出された脆弱性情報は、脆弱性の緩和または修正など防御目的のみに使用されます。製品やサービスの全ユーザーに影響を与え、PG&E以外にも影響を及ぼす新しく検出された脆弱性が検出された場合は、報告書をCybersecurity and Infrastructure Security Agencyと共有し、協調的な脆弱性の公開プロセス下で対処する場合があります。明示的な許可なく、調査員の氏名または連絡先を共有することはありません。


脆弱性の報告は、pgecirt@pge.comまでご連絡ください。


報告は、匿名でも可能です。連絡先情報を共有する場合、3営業日以内に報告の受理をお知らせするよう努力します。


脆弱性報告書を提出することで、支払はされず、アメリカ合衆国政府に対して、その提出に関連するいかなる将来的な支払要求も明示的に放棄することに同意するものとします。



調査員から期待すること

報告書の評価および優先割り当てのために、まずpgecirt@pge.comに電子メールで連絡を取り、以下を含めることをお勧めします。

  • 脆弱性、その範囲、重要度の詳細な説明。
  • 脆弱性のドメイン位置およびセキュリティ上の弱点の潜在的影響。

初期情報を確認した後、暗号化された電子メールをお送りしますので、脆弱性の再現に必要な手順の包括的説明を含む具体的な詳細を返信してください(概念実証のスクリプトまたはスクリーンショットが役に立ちます)。



弊社から期待できること

このポリシーに従って本プログラムに脆弱性報告書を提出する際、できる限り率直および迅速に対応します。

  • 3営業日内に、報告書の受理を通知する努力をします。
  • 可能な限り脆弱性の存在を確認し、解決の遅延をもたらす可能性のある問題や難題を含む修正プロセス中に取る手順について透明性を示します。
  • 問題を議論するために公開討論を維持します。

開示料の裁量は、独占的にPG&Eに委ねられていますが、制裁リストに載っている個人または制裁リストに載っている国(キューバ、イラン、北朝鮮、スーダン、シリアなど)にいる個人に対し、PG&Eはいかなる状況であっても開示料を支払うことはありません。



脆弱性開示プログラムの法関連情報

調査員の居住地または勤務地に適用される現地法によっては、開示済み脆弱性を提出する資格が制限される可能性があることに留意してください。


このポリシーは随時変更可能で、このプログラムは随時キャンセル可能です。開示料を支払うかどうかの裁量はPG&Eのみに委ねられています。