脆弱性情報開示ポリシー
VDP
最終更新日:2026年4月15日
1. 目的
Cold Electric(以下「当社」といいます)は、当社製品およびサービスのセキュリティ確保に取り組んでいます。当社はセキュリティ研究コミュニティおよび利用者からのフィードバックを重視し、善意に基づく脆弱性報告を歓迎します。
本ポリシーは、脆弱性開示の明確な窓口と手順を定め、セキュリティ上の問題を迅速かつ効果的に対応することで、お客様とその資産を保護することを目的とします。
2. 適用範囲
本ポリシーは、以下の製品およびサービスに適用されます。
- Cold ZERO、Cold OG、Cold OG2を含む蓄電システム製品のファームウェアおよびソフトウェア
- マイクログリッドおよび系統連系型蓄電システムの制御ソフトウェア
- HMI(Human-Machine Interface)システム
- BMS(Battery Management System)通信インターフェース
- 当社が運営するウェブサイト(coldelectric.com)および関連オンラインサービス
発見内容が本適用範囲に含まれるか不明な場合は、当社までご連絡ください。判断を支援します。
3. 脆弱性の定義
本ポリシーにおける「セキュリティ脆弱性」とは、以下を引き起こす可能性のある技術的な弱点を指します。
- システムまたはデータへの不正アクセス
- 個人データまたは機密情報の漏えい
- サービス停止またはシステム異常
- セキュリティ制御機構の回避
- リモートコード実行
- 権限昇格
- 情報システム、製品、設備、または情報資産の機密性、完全性、可用性に影響を及ぼすと当社が判断するその他の技術的欠陥またはセキュリティ脆弱性
4. 報告窓口
潜在的なセキュリティ脆弱性を発見した場合は、以下の窓口からご報告ください。
報告内容の機密性を保護するため、暗号化メールまたはTLSで暗号化された接続による送信を推奨します。
脆弱性がサイバーセキュリティ管理法で定義される重大なサイバーセキュリティインシデントに該当する場合、当社は法定通知手続も同時に開始します。
5. 報告内容
脆弱性の分析と対応を迅速に行うため、報告には以下の情報を含めてください。
- 脆弱性の説明:問題の詳細な説明
- 影響を受ける製品:製品名、型番、バージョン
- 再現手順:脆弱性を再現する具体的な手順
- 影響評価:想定される影響に関する初期評価
- Proof of Concept(PoC):可能であれば検証コードまたはスクリーンショット
- 連絡先情報:氏名(またはハンドル名)および連絡先
6. 対応プロセス
当社は脆弱性報告を受領後、以下のプロセスに従って対応します。
受領確認
5営業日以内に報告の受領を確認し、ケース参照番号をお知らせします。
初期評価
専任チームが脆弱性を検証し、影響を評価します。初期結果は10営業日以内にお知らせします。
修正対応
確認後、直ちに修正作業を開始します。対応期間は脆弱性の深刻度および技術的複雑性により異なります。
パッチ公開
修正完了後、ファームウェアまたはシステムアップデートを通じてパッチを配布します。
ケース終了
報告者に解決内容を通知し、適切な時期に公開開示を行います。
7. 公開開示
当社は、以下の原則に基づいて脆弱性情報を開示します。
- 公開開示は、修正が完了しパッチが公開された後にのみ行います
- 開示前に報告者と十分に協議し、内容と時期について合意します
- 開示には、脆弱性の概要、影響範囲、修正内容、謝辞を含めます
- 開示時期について合意に至らない場合、当社は原則として修正後90日以内に開示します
8. セーフハーバー
当社は、善意の報告者に対して以下の保護を約束します。
- 本ポリシーに従って真正なセキュリティ研究を行う個人に対し、当社は刑事または民事手続を開始しません。ただし、通知者による研究が公共の利益を害する場合、または刑法上の非親告罪(例:第362条の電磁的記録毀損罪)その他の強行法規に違反する場合、当社は法令に従い所管当局に協力します。
- 善意の脆弱性報告を理由として、報告者に不利益な措置を課しません
- セキュリティ上の問題を理解し解決するため、報告者と協力して対応します
当社は、善意で報告する方を保護することに取り組みます。本ポリシーにおける「善意」とは、研究および報告活動が以下の要件を同時に満たすことを意味します。
正当な目的
研究活動は、セキュリティ脆弱性の発見、検証、報告に限定され、不正な利益の取得、当社の評判の毀損、不公正な競争を目的としないものとします。
損害の最小化
脆弱性の検証時には「必要最小限の行為」にとどめる必要があります。ストレステスト、分散型サービス妨害(DDoS)攻撃、または蓄電システムのスケジューリングや電力供給の安定性を妨げる可能性のある試験は、厳格に禁止します。
プライバシーの尊重
検証過程で誤って第三者の個人データまたは当社の営業秘密に接触・取得した場合は、直ちに作業を停止し、当該情報を保存、複製、変更、配布、使用してはなりません。また、その事実を報告内で自主的に開示してください。
手続の遵守
本ポリシー第9条(注意事項)の規定を厳格に遵守し、脆弱性が修正される前に第三者へ詳細を開示したり、公開プラットフォームで公表したりしないでください。
法令遵守
研究活動が、コンピューターシステムの損壊またはコンピューター利用妨害に関する刑法上の非親告罪に該当しないこと。
上記の善意の原則を満たす研究者に対し、当社は刑事告訴または民事請求を行わないことを約束します。
9. 報告者ガイドライン
すべての関係者の利益を保護するため、報告者は以下を遵守してください。
- 当社の同意なく脆弱性の詳細を公開しないこと
- 他のユーザーのデータへアクセスまたは変更しないこと
- サービス可用性に影響する可能性のあるテスト(例:DoS攻撃)を行わないこと
- 不正な活動のために脆弱性を悪用しないこと
- 適用されるすべての法令および規制を遵守すること