SolarEdge’s Cyber Security Policy | ソーラーエッジ| スマートエネルギーの世界的リーダー
Close mobile menu

SolarEdge’s Cyber Security Policy

Cyber Security Policy top banner

Cyber Security Policy top banner

昨今、太陽光発電(PV)による系統への電力供給の割合は増加の一途をたどっており、PV業界にとって、すべてのシステムに対するサイバーセキュリティ強化に向けた事前対策の整備は喫緊の課題と言えます。PV業界の世界的リーディング企業として、ソーラーエッジはサイバーセキュリティ促進に努め、太陽光産業の信頼と信望の維持に邁進いたします。
ソーラーエッジは長年、弊社の製品、ソリューション、プラットフォーム、およびデータについて十全を期すよう、サイバーセキュリティ促進に向け多岐にわたる努力を重ねてまいりました。サイバーセキュリティ対策をサイバー業界と連携して推し進めた結果、ソーラーエッジでは、弊社のサービスまたは製品に存在する可能性のある欠陥を特定・修繕するため、「バグ発見報奨金制度(Bug Bounty Program)」を含む「責任ある公開方針」を採用しています。
この「バグ発見報奨金制度」とは、当該制度の内容・条件に従って、弊社のソフトウェアに存在するセキュリティ脆弱性の発見をハッカーに呼びかけ、そうした脆弱性を製品出荷に先立って把握し、対処する機会を設けるというものです。ソーラーエッジでは、サイバーセキュリティ上の脅威に関する報告に対して、検証と確認を伴った正当なものについては報奨金をお支払いします。こうした脆弱性については、弊社の「責任ある公開方針」に従って、定められた期間の後に公開いたしますが、これには弊社がこうした問題を解決し、出資者全員のためにソーラーエッジのプラットフォームおよびサービスについて最大限のセキュリティが確保されるまでの時間が必要となります。報告の際は、下記の内容・条件(terms and conditions)をご確認いただき、公式の「脆弱性報告フォーム」をご利用ください。
弊社の「責任ある公開方針」の一環として、ソーラーエッジでは積極的に当該業界と連携し、施設、PVシステム、およびそれらに付帯するサービスの間に強化されたセキュリティ機構を構築することを念頭に、基準を作成し実践していきます。弊社としては、適切なサイバーセキュリティ情報および脆弱性をPV市場と共有していくことを堅くお約束します。

責任ある公開方針

ソーラーエッジは、本方針がすべて遵守されている場合、サイバーセキュリティ上の脆弱性について報告をいただいたいかなる個人または事業者に対しても法的手続をとることはありません。「責任ある公開方針」の一環として、ソーラーエッジは以下に挙げる項目を要求します:

  • 公共または他者と情報を共有する前に、報告されたあらゆる問題に関して調査・訂正する時間を持つこと
  • 個人アカウントとのやり取りまたは妨害をしないこと
  • 発見されたセキュリティ上の脆弱性を不正利用しないこと
  • その他のデータまたは情報を利用しないこと
  • 実際のPVシステム上では、ペネトレーションテストのみ実施すること。ペネトレーション(侵入)が成功した場合、当該脆弱性を速やかに報告すること(追加のテストは許可されていません)
  • 適用される法律を遵守すること

バグ発見報奨金制度

ソーラーエッジでは、サイバーセキュリティ上の脆弱性をご報告いただいたハッカーに対して報酬金をお支払いします。提供される報奨金については、弊社の完全な裁量のもと、その危険度、影響力、不正利用のしやすさ、報告書の品質、その他の留意事項に基づいたものになります。1回の報告書につき、報奨金は最低250ドルとなります。
「バグ発見報奨金制度」の一環として、ソーラーエッジは以下の項目を要求します:

  • 上述した「責任ある公開方針」の厳守
  • バグは実際にセキュリティ上のリスクであること

報告の際は、下記の内容および条件(Terms and conditions)をご確認いただき、公式の「脆弱性報告フォーム」をご利用ください。
「責任ある公開方針」または「バグ発見報奨金制度」の一環として、セキュリティ上の脆弱性を正式に報告するには、次のフォームをご記入ください

内容・条件

報告されたセキュリティ上の脆弱性はすべて、ソーラーエッジによる検証と確認が必要です。
セキュリティ上の脆弱性を発見するにあたって、ソーラーエッジは以下の項目を認めていません:

  • 法律の違反
  • 合意事項の不履行
  • 他者が所有するデータまたは情報へのアクセス、またはアクセスを試みること
  • 他者が所有するデータまたは情報の破壊または不正操作、またはそれらを試みること

脆弱性を報告した個人が、アメリカ合衆国の制裁対象リストに入っていないこと、または制裁対象国リストに住んでいないことも条件の一つとなります(キューバ、イラン、北朝鮮、シリア、リビアを含みますが、これらに限定されません)。
脆弱性を報告し、ソーラーエッジから報奨金を得た個人は、当該金に適用されるすべての税金を支払う責任があります。
個人の住む場所によって、セキュリティ上の脆弱性を報告する際に、さらなる制約事項が存在することもあります。お住まいの地域に適用される法律を確認されることをお勧めします。
本制度は予告なく無効となることがあります。報告書が弊社制度の内容に沿ったものかどうかについては、ソーラーエッジが独自の判断に基づいて決定します。
提供されるあらゆる報奨金の金額および通貨は、ソーラーエッジが独自の判断に基づいて決定します。