脆弱性開示ポリシー
1.はじめに
当社ではお客様やステークホルダー様に対する製品およびサービスの安全確保により、独自のセキュリ
ティ対策強化に努めております。当社の情報資産において、脆弱性、プライバシー問題、データ漏え
い、またはその他のセキュリティ上の問題を発見された場合は、お手数ですが、当社の連絡窓口に通
知をお願いします。
本ポリシーは、当社への脆弱性報告の手順、当社からのご依頼事項および対応方針などを定めてお
ります。
2.定義
• 当社:本ポリシーにおいて、「当社」とは HOBE ENERGY 株式会社をいいます。
• 報告者:脆弱性を発見し、かつ当社に対し、脆弱性報告を行う個人、組織、または団体をい
います。
• 脆弱性対応窓口:
対応窓口 HOBE ENERGY 株式会社 管理部
URL https://hobeenergy.co.jp/
メールアドレス info@hobeenergy.co.jp
3.新しい脆弱性情報の収集と共有
当社の製品またはサービスに対し、セキュリティ上の問題を発見された場合は、以下の詳細情報を
当社対応窓口までメールアドレスにてお送りください。
➢ 必須情報
• 該当の具体的な製品、品番または URL
• 該当の製品のバージョン情報
• 脆弱性の再現手順(スクリーンショット、タイムスタンプ、概念実証〔PoC 含む〕など)
• 連絡先(社名または個人名、E メールアドレス)
➢ 推奨情報
• 関連する CWE 参照
• 当該脆弱性が既に公開されている、または第三者に知られているか否か
4.対象製品およびサービス範囲
当社は、現在も更新またはサポートが継続されているすべての製品、プラットフォーム、および関連するクラウドサービスに関するセキュリティ報告を受け付けます。更新またはサポートが終了した製品およ
びサービスは、本ポリシーの対象外となります。
➢ 対象外
PoC(概念実証)がないデバイスの脆弱性スキャン報告は受け付けません。
➢ 受け付ける Web 脆弱性
• OWASP Top 10 に該当する脆弱性
• 実際の影響が確認されているその他の脆弱性
➢ 受け付けない Web 脆弱性
• 理論上の脆弱性
• 機微でない情報漏えい
• 影響が小さく、悪用可能性が低い脆弱性
5.当社の対応方針
本ポリシーに基づき当社の対応方針は以下のとおりです。
• 報告を受領後 7 営業日以内 に初期確認を行い、通報者に受付確認および追跡番号
を提供します。
• 初回確認後 30 日以内 に脆弱性を受理するかどうかを判断し、予定される修正期限
を提示します。
• 受理しない場合は通報者に理由を説明します。再通報の際には、必要に応じて追加情
報の提供をお願いする場合があります。
• 脆弱性が確認された場合、エンジニアが修正作業を開始します。
• 報告の受理後 90 日以内 に修正およびパッチの提供を目指します。
• 止むを得ず 90 日以内に修正できない場合は、期間延長について協議、または別途説
明を行います。修正期間は以下の要因により影響を受ける可能性があります。
✓ 上流サプライヤーの修正スケジュールが当社と異なる場合
✓ 修正に大規模なアーキテクチャ変更が必要な場合
✓ 基盤ファームウェア(例:ストレージファームウェア)の変更に伴う長期検証が必要
な場合
• 現時点では脆弱性報奨金プログラム(バグバウンティ)は提供しておらず、報奨金、広報
資料、またはセキュリティアドバイザリ以外でのクレジット掲載の要請は受け付けておりませ
ん。
6.遵守事項
脆弱性開示にご協力いただく場合は以下の事項を遵守してください。
• 本ポリシーおよび関連規約を含むルールを遵守してください。本ポリシーと他の規約に不一致
がある場合は、本ポリシーを優先します。
• 発見した脆弱性を速やかに報告してください。
• 脆弱性情報は公式チャネルを通じてのみ共有し、機密として取り扱ってください。
• 対象範囲内のシステムのみをテストし、対象外のシステムや業務を尊重してください。
• 他者のプライバシーを侵害せず、当社システムを妨害・破壊せず、データの損壊やユーザー体
験の低下を招かないようにしてください。
• 脆弱性により偶然データへアクセスできた場合は、実証に必要最小限のデータのみ取得してく
ださい。ユーザーデータ(個人情報や機密情報など)に接触した場合は、直ちにテストを停
止し報告してください。
• 自身が所有するアカウント、または明確な許可を得たアカウントのみを使用してください。
7.免責事項
• 更新未実施に関する免責
ユーザーが上記のアップデート内容およびその重要性を認識しているにもかかわらず、本機能
更新を拒否、遅延、または適切に実施しなかったことに起因して発生した一切の直接的また
は間接的損害(設備の損傷、バッテリーの廃棄、火災事故、電力供給の中断、第三者から
の請求、逸失利益を含むがこれらに限られない)について、開発者/供給者は一切の法的
責任および損害賠償責任を負わないものとします。
• 操作および使用環境に関する免責:
ユーザーが操作マニュアルに従わなかった場合、システムパラメータの無断変更、ハードウェア環
境の不適合、サイバー攻撃、または不可抗力(地震、落雷、異常気象等)に起因して発
生した通常予見可能な故障または事故について、開発者/供給者は責任を負わないものと
します。
• データ完全性に関する免責:
本システムは多重のデータ保護措置を講じていますが、ハードウェア障害、人的ミス、または不
正アクセスにより発生したデータの消失または破損については、開発者/供給者はデータ復旧
の支援を行うにとどまり、その復旧の成否およびこれに起因する業務上の損失について一切の
責任を負わないものとします。
• モデル依存性に関する説明および免責:
本システムの一部の高度機能(バッテリー自動キャリブレーション、寿命予測等)は、第三者(バッテリーメーカー等)から提供されるモデルデータに依存しています。第三者のモデルデータ
の誤りまたは欠落に起因する制御偏差については、開発者/供給者がインターフェース統合
義務を適切に履行している場合に限り、いかなる連帯責任も負わないものとします
8.改訂履歴
当社の本脆弱性開示ポリシーは、随時更新する場合があります。脆弱性を通知いただく際には、最
新のポリシーをご確認ください。
現在のバージョン:1.0
公開予定日:2026 年 3 月 31 日
公開方法および公開場所:HOBE ENERGY のホームページ
1.はじめに
当社ではお客様やステークホルダー様に対する製品およびサービスの安全確保により、独自のセキュリ
ティ対策強化に努めております。当社の情報資産において、脆弱性、プライバシー問題、データ漏え
い、またはその他のセキュリティ上の問題を発見された場合は、お手数ですが、当社の連絡窓口に通
知をお願いします。
本ポリシーは、当社への脆弱性報告の手順、当社からのご依頼事項および対応方針などを定めてお
ります。
2.定義
• 当社:本ポリシーにおいて、「当社」とは HOBE ENERGY 株式会社をいいます。
• 報告者:脆弱性を発見し、かつ当社に対し、脆弱性報告を行う個人、組織、または団体をい
います。
• 脆弱性対応窓口:
対応窓口 HOBE ENERGY 株式会社 管理部
URL https://hobeenergy.co.jp/
メールアドレス info@hobeenergy.co.jp
3.新しい脆弱性情報の収集と共有
当社の製品またはサービスに対し、セキュリティ上の問題を発見された場合は、以下の詳細情報を
当社対応窓口までメールアドレスにてお送りください。
➢ 必須情報
• 該当の具体的な製品、品番または URL
• 該当の製品のバージョン情報
• 脆弱性の再現手順(スクリーンショット、タイムスタンプ、概念実証〔PoC 含む〕など)
• 連絡先(社名または個人名、E メールアドレス)
➢ 推奨情報
• 関連する CWE 参照
• 当該脆弱性が既に公開されている、または第三者に知られているか否か
4.対象製品およびサービス範囲
当社は、現在も更新またはサポートが継続されているすべての製品、プラットフォーム、および関連するクラウドサービスに関するセキュリティ報告を受け付けます。更新またはサポートが終了した製品およ
びサービスは、本ポリシーの対象外となります。
➢ 対象外
PoC(概念実証)がないデバイスの脆弱性スキャン報告は受け付けません。
➢ 受け付ける Web 脆弱性
• OWASP Top 10 に該当する脆弱性
• 実際の影響が確認されているその他の脆弱性
➢ 受け付けない Web 脆弱性
• 理論上の脆弱性
• 機微でない情報漏えい
• 影響が小さく、悪用可能性が低い脆弱性
5.当社の対応方針
本ポリシーに基づき当社の対応方針は以下のとおりです。
• 報告を受領後 7 営業日以内 に初期確認を行い、通報者に受付確認および追跡番号
を提供します。
• 初回確認後 30 日以内 に脆弱性を受理するかどうかを判断し、予定される修正期限
を提示します。
• 受理しない場合は通報者に理由を説明します。再通報の際には、必要に応じて追加情
報の提供をお願いする場合があります。
• 脆弱性が確認された場合、エンジニアが修正作業を開始します。
• 報告の受理後 90 日以内 に修正およびパッチの提供を目指します。
• 止むを得ず 90 日以内に修正できない場合は、期間延長について協議、または別途説
明を行います。修正期間は以下の要因により影響を受ける可能性があります。
✓ 上流サプライヤーの修正スケジュールが当社と異なる場合
✓ 修正に大規模なアーキテクチャ変更が必要な場合
✓ 基盤ファームウェア(例:ストレージファームウェア)の変更に伴う長期検証が必要
な場合
• 現時点では脆弱性報奨金プログラム(バグバウンティ)は提供しておらず、報奨金、広報
資料、またはセキュリティアドバイザリ以外でのクレジット掲載の要請は受け付けておりませ
ん。
6.遵守事項
脆弱性開示にご協力いただく場合は以下の事項を遵守してください。
• 本ポリシーおよび関連規約を含むルールを遵守してください。本ポリシーと他の規約に不一致
がある場合は、本ポリシーを優先します。
• 発見した脆弱性を速やかに報告してください。
• 脆弱性情報は公式チャネルを通じてのみ共有し、機密として取り扱ってください。
• 対象範囲内のシステムのみをテストし、対象外のシステムや業務を尊重してください。
• 他者のプライバシーを侵害せず、当社システムを妨害・破壊せず、データの損壊やユーザー体
験の低下を招かないようにしてください。
• 脆弱性により偶然データへアクセスできた場合は、実証に必要最小限のデータのみ取得してく
ださい。ユーザーデータ(個人情報や機密情報など)に接触した場合は、直ちにテストを停
止し報告してください。
• 自身が所有するアカウント、または明確な許可を得たアカウントのみを使用してください。
7.免責事項
• 更新未実施に関する免責
ユーザーが上記のアップデート内容およびその重要性を認識しているにもかかわらず、本機能
更新を拒否、遅延、または適切に実施しなかったことに起因して発生した一切の直接的また
は間接的損害(設備の損傷、バッテリーの廃棄、火災事故、電力供給の中断、第三者から
の請求、逸失利益を含むがこれらに限られない)について、開発者/供給者は一切の法的
責任および損害賠償責任を負わないものとします。
• 操作および使用環境に関する免責:
ユーザーが操作マニュアルに従わなかった場合、システムパラメータの無断変更、ハードウェア環
境の不適合、サイバー攻撃、または不可抗力(地震、落雷、異常気象等)に起因して発
生した通常予見可能な故障または事故について、開発者/供給者は責任を負わないものと
します。
• データ完全性に関する免責:
本システムは多重のデータ保護措置を講じていますが、ハードウェア障害、人的ミス、または不
正アクセスにより発生したデータの消失または破損については、開発者/供給者はデータ復旧
の支援を行うにとどまり、その復旧の成否およびこれに起因する業務上の損失について一切の
責任を負わないものとします。
• モデル依存性に関する説明および免責:
本システムの一部の高度機能(バッテリー自動キャリブレーション、寿命予測等)は、第三者(バッテリーメーカー等)から提供されるモデルデータに依存しています。第三者のモデルデータ
の誤りまたは欠落に起因する制御偏差については、開発者/供給者がインターフェース統合
義務を適切に履行している場合に限り、いかなる連帯責任も負わないものとします
8.改訂履歴
当社の本脆弱性開示ポリシーは、随時更新する場合があります。脆弱性を通知いただく際には、最
新のポリシーをご確認ください。
現在のバージョン:1.0
公開予定日:2026 年 3 月 31 日
公開方法および公開場所:HOBE ENERGY のホームページ