脆弱性開示ポリシー

株式会社ココロバレ（以下「当社」）は、自社および受託管理するWebサービスのセキュリティ向上のため、善意による脆弱性の発見・報告を歓迎します。本ポリシーは、脆弱性を発見された方と当社が、安心して協力できる枠組みを定めるものです。

1.報告窓口

セキュリティ上の問題を発見された場合は、以下のメールアドレスまでご連絡ください。

hello@cocorobare.com

内容には、発見された問題の概要・再現手順・影響範囲（わかる範囲で構いません）をご記載いただけると、迅速な対応が可能です。

2.対象範囲

【対象】

• 当社が運営・管理するWebサイト
• 当社がお客様より受託し管理・保守しているWebサイト
• 当社が提供するサービス

【対象外】

• 当社が管理しない第三者のサービス・インフラ（ホスティング会社の基盤・WordPressコアの未修正バグ等）
• DoS/DDoS攻撃を伴う検証行為
• ソーシャルエンジニアリングや物理的手段による攻撃
• 自動スキャンツールによる大量リクエストを伴う調査

3.対応フロー

ご報告いただいた内容に対し、以下の流れで対応します。

受領確認：ご報告から3営業日以内に受領のご連絡をいたします。

調査・評価：ご報告内容をもとに、影響範囲・深刻度を調査します。目安として10営業日以内に調査結果をご連絡しますが、複雑な内容の場合はお時間をいただくことがあります。

修正・完了報告：修正が完了した時点で、ご報告者にご連絡します。修正の優先度は深刻度に応じて判断します。

4.報告者への約束

• 善意による調査・報告に対して、当社は法的措置を取りません
• ご報告いただいた内容は機密として取り扱い、ご本人の同意なく第三者へ開示しません
• 現時点では金銭的報奨（バグバウンティ）は設けておりません

5.報告者へのお願い

• 発見した脆弱性は、当社の対応が完了するまで第三者への開示・公表をお控えください（協調的開示）
• 調査は必要最小限の範囲にとどめ、お客様データへのアクセス・改ざん・削除は行わないでください
• 当社システムの可用性を損なう行為（DoS等）は行わないでください

6.当方針の改定

本ポリシーは、予告なく変更、修正することがあります。

7.お問い合わせ窓口

脆弱性開示ポリシーの取り扱いについてのご質問・ご相談は、以下の窓口までお問い合わせください。

住所：〒460-0022 愛知県名古屋市中区金山2-14-17
電話番号：052-990-3500
メールアドレス：hello@cocorobare.com
受付時間：10:00〜18:00（土日祝・年末年始を除く）

2026年4月制定

株式会社ココロバレ
代表取締役 藤原紗千代