協調的な脆弱性開示ポリシー

Sonosは、適時かつ効率的に脆弱性リサーチを行い、お客様のデータとプライバシーを保護することをお約束します。セキュリティリサーチャーには、セキュリティの脆弱性を報告する際に、この協調的な開示ポリシーに従うことが推奨されます。セキュリティ脆弱性対応チームは、脆弱性の報告の窓口となり、その対処を担当します。本ポリシーは、Sonos製品の脆弱性を発見・報告する当事者に適用されます。本ポリシーは、脆弱性開示 ISO/IEC 29147のISO規格に使用されている手法に基づいており、同手法を参照しています。

要件：

本ポリシーで、「脆弱性リサーチ」とはセキュリティリサーチャーの以下の行為を意味します。

• 実在する/潜在的なセキュリティ脆弱性を新たに発見した後、早急にSonosセキュリティチームに通知してください。
• プライバシー侵害の回避、ユーザー体験の保護、プロダクションシステムの混乱防止、データの破壊や操作の防止には誠実に取り組んでください。法律に違反するセキュリティテストは、犯罪調査や法的調査につながる可能性があります。法的事項と保護の項をご覧ください。
• 協調的な脆弱性開示の期間中は脆弱性を秘密扱いとし、情報を開示する前に、問題を解決するための十分な時間をSonosに与えてください。

脆弱性の範囲：

本ポリシーは、Sonosの相互接続製品、プラットフォーム、操作用モバイルアプリのあらゆる脆弱性を対象としています。これには、ファームウェア、モバイルアプリ、クラウドサービスの脆弱性が含まれます。

接続済サービスなど、上記に明記されないサービスは範囲から除外され、Sonosはテストを許可しません。さらに、ベンダーのシステムの脆弱性は本ポリシーの範囲外とし、当該ベンダーの開示ポリシーに従って、ベンダーに直接報告してください。システムが対象かどうかわからない場合は、 security@sonos.comまでお問い合わせください。注：セキュリティリサーチャーは、サードパーティの相互接続サービスの外部脆弱性開示ポリシーを読み、当該サービスに許可されたテストの範囲を判断してください。

脆弱性の報告：

Sonosは、脆弱性が発見された際は脆弱性対応チームに責任を持って報告することを奨励しています。
報告は匿名で送信していただけます。
脆弱性の発見を報告する際のメールの件名は「脆弱性報告」とし、security@sonos.com まで送信してください。

セキュリティリサーチャーには、暗号化コミュニケーションチャンネルを使用したセキュリティ報告の送信を強く奨励します。SonosのPGPパブリックキーは こちらをご覧ください。

報告にはできるだけ多くの情報を記載してください。報告を迅速に評価するために、以下の情報をお送りください。

• 問題の詳細と予想される影響
• 影響を受ける製品とソフトウェアバージョン
• 問題の再現方法
• 概念実証（PoC）
• 必要に応じて、緩和や修正の提案

脆弱性報告への対応：

• 脆弱性の報告後、外部当事者には3営業日以内に報告の受領確認が送られます。
• 外部当事者に対しては、問題処理期間中、2～3週間ごとに対処状況（脆弱性がいつ修正されたかなど）をお知らせします。
• 脆弱性は重大度別に分けられ、お客様のデータやプライバシーに与えるリスクに基づいて優先順位が付けられます。

謝辞：

現在、Sonosには外部セキュリティリサーチャー向けのバグバウンティプログラムは設置されていませんが、 セキュリティリサーチャー表彰ページで責任ある開示を称えています。

法的事項と保護：

Sonosは、脆弱性の報告者に対する保護を誠意を持って提供いたします。Sonosは、本ポリシーに従って脆弱性を報告した者に対し、法的措置を取りません。報告者がその報告について認識されることを明確に要求しない限り、法律に要求される場合を除いて、Sonosは報告者の身元の秘密性を守ります。

最後に：

Sonosは、責任ある開示がお客様のデータおよびプライバシーの保護に不可欠であると確信しています。本ポリシーは、脆弱性に対するSonosの適時かつ効率的な対処を説明するものです。Sonosは、脆弱性をセキュリティ脆弱性対応チームに報告し、Sonosと協力してお客様を保護することをあらゆる関係者に奨励しています。