SecurityBlanket 利用規約
SecurityBlanket 利用規約(以下「本規約」といいます)は、株式会社M&K(以下「乙」といい、乙が承認した販売代理店も含みます)がお客様(以下「甲」といいます)に提供する診断サービス「SecurityBlanket」(以下「本サービス」といいます)の提供方法や責任範囲、その他契約の条件を定めるもので、甲は本規約に定める内容を承諾して本サービスを利用するものとします。
1. 本サービス内容について
本サービスの提供内容及び条件は、下記の通りです。
(1)提供サービスの種別
本サービスは、以下の診断サービスを提供します。
1.WEBアプリケーション向け脆弱性診断(ツール診断/手動診断)
2.システムプラットフォーム向け脆弱性診断(ツール診断/手動診断)
3.モバイルアプリケーション向け脆弱性診断(ツール診断/手動診断)
4.コンプライアンス診断(CISベンチマーク適合診断)
5.ペネトレーションテスト(疑似攻撃侵入テスト)
(2) 本サービスの提供内容
本サービスは乙甲間での契約内容により、以下の診断、及び作業を実施します。
1. インターネット経由での脆弱性診断、およびペネトレーションテスト
2. オンサイト(お客様指定場所)での脆弱性診断、およびペネトレーションテスト
3.モバイルアプリケーションの脆弱性診断
4. インターネット経由でのコンプライアンス診断
5. 診断報告書の作成、及び顧客ポータル(以下「専用Web ページ」)への診断結果表示
(3) 本サービスの診断対象
本サービスの診断対象は、甲により指定された次の接続点を対象とし、その条件は下記の通りとします。
1. 診断対象の種類
Ⅰ インターネット グローバルIP アドレスが設定されている次のようなネットワーク機器
(A)各種サーバ(Web サーバ、DNS サーバ、メールサーバ 等)
(B) ルータ
(C) ファイアウォール 等
Ⅱ 本項1.Ⅰの(A)に含まれるグローバルIP アドレスが設定されているURL のWeb
ページ(FQDN ドメインURL)
Ⅲ.甲より提示されるモバイルアプリケーション
Ⅳ.甲が契約・利用するクラウドサービス等
2. 診断対象の所有者及び形態
本サービスは次の形態のいずれかに該当するアプリケーションおよびシステムプラットフォームを診断対象とします。
Ⅰ.甲が所有し、甲の事業所あるいは施設内で稼動しているシステム
Ⅱ 甲が所有し、単独(第三者と共同利用でない)で第三者のデータセンター、あるいはサービスプロバイダの施設内で稼
動しているシステム(ハウジング利用)。
但し、この場合、甲はデータセンター、あるいはサービスプロバイダから本サービス利用の承諾を得るものとします。
Ⅲ.甲が第三者のデータセンター、あるいはサービスプロバイダのホスティングサービスおよびクラウドサービスを利用して
稼働しているシステム。
但し、この場合、甲はデータセンター、あるいはサービスプロバイダから本サービス利用の承諾を得るものとします。
Ⅳ.甲より提示されるWEBアプリケーションおよびモバイルアプリケーション
3. 提供内容
本サービスの提供内容は別紙1定める通りです。
これを超える範囲に関しては、オプションとして有償の追加契約が必要となります。
(4) 本サービスの診断実施日
本サービスの診断日及び時間帯は、当社が定める以下の範囲の中で、甲乙間で調整の上で決定するものとします。
・10:00~18:00/当社営業日(土曜・日曜・祝日・当社が定める休日を除く)
なお、ツール診断のライセンス契約の場合はライセンス有効期限内にて以下より選択可能です。
1. 年間ライセンス契約の場合
Ⅰ.診断日:毎日/週一回(任意指定可能)/月一回(任意指定指定)
Ⅱ.時間帯:任意指定可能
2. 回数制限ライセンスの場合、ライセンス有効期間内中は以下の設定から選択できます。
Ⅰ.診断日:任意指定日
Ⅱ.時間帯:任意指定時間
(5) 本サービスで除外される診断
本サービスでは以下の診断等は実施しません。
1. DoS攻撃(サービス拒否攻撃)
本サービスではDoS攻撃に関係する診断・疑似攻撃は実施しません。なお、DoS攻撃に関する脆弱性が発見された場合に
おいても、それは乙がDoS攻撃を実施して検出したものではなく、分析の結果として検出されたものとなります。
2. 侵入攻撃試験
アプリケーションおよびシステムプラットフォームに関する脆弱性診断サービスでは、発見された脆弱性を利用し、さらに甲の
システムに侵入する試験は実施しません。
但し、ペネトレ―ションテストをご契約の場合にはエンジニアによる疑似攻撃を実施し、侵入テストを実施します。
(6) 本サービスの診断結果報告方法
本サービスの診断結果については、以下の方法で報告します。
1.ツールによる自動診断においては、 診断終了後24時間以内に診断結果報告の作成を完了し、専用Web ページに表示し
ます。
2.手動診断においては、 診断終了後3営業日以内報告書を作成し、甲乙間にて取り決めた方法にて送付します。
(7) 診断報告情報の保管
本サービスの診断結果報告の保管期間は最大12ヶ月とします。
(8) 本サービスの診断内容の保証及び責任の制限について
1. 本サービスは、乙が甲の指定する診断対象において、可能な限りの範囲で脆弱性を検出します。但し、本サービスは、乙が
甲の指定する診断対象において、すべての脆弱性を発見することを保証するものではありません。
2. 本サービスにおいて脆弱性が発見された場合、推奨する対処方法は、その結果を保証するものではありません。
3. 乙は、甲に対して、いかなる場合でも、ビジネス機会の喪失、信用の損失、業務の中断、コンピュータの誤動作、機能障害を
含むいかなる種類の結果的、特別的、派生的又は間接的な損害について、たとえ乙がこのような損害の可能性について知っ
ていた場合であっても、乙は、契約責任、不法行為責任その他いかなる法的責任を負うものではありません。
4. 乙が本規約に基づき、甲に対して損害賠償を負う場合の責任限度額は、いかなる原因であっても本契約に基づき甲が乙に
対して支払った本サービスの契約代金の総額を越えないものとします。
5. 甲が乙に対し、申込の際に提示する情報の正確性については、全て甲の責任とし、悪意、過失を問わず間違った情報によ
り、第三者へ損害を与え、損害賠償請求が発生しても、乙は一切の責任を負わないものとします。
6. 第4条の(3)、(4)に定めの通り、診断を途中で中断した場合でも、診断の中断により起因したあらゆる責任を乙が負うものでは
ないとし、乙は甲に対して減額等は行わないものとします。
(9) 本サービスの代金について
本サービスの代金及び支払条件は、甲と乙が別途取り交わし、月末締め、翌月末までに乙が指定する銀行口座に振り込むもの
とします。
(10) 本サービスの注意点について
本サービスの診断実施にあたり、データベースへの情報送信(情報の登録・変更・削除処理を含む。)や顧客管理者へのメール
通知等の処理を回避(以下「処理の回避」という)することを原則とします。なお、サイトおよびアプリケーションの表面上から、処理
の回避のための手段が明確でない場合、甲は、登録情報の備考欄に処理の回避を強く望む旨と、処理の回避に必要な情報を
明記して乙へ提出するものとします。
データベースへの情報送信(情報の登録・変更・削除処理を含む。)や顧客管理者へのメール通知等の処理を希望する場合、甲
は、登録情報に処理希望の旨と、それに必要な情報を明記し、乙へ提出するものとします。
2. 甲が本サービスを受ける場合に、乙へ登録を依頼する登録情報の保証について
甲は本サービスの申し込みにあたり、責任をもって正確な登録情報を乙へ提出し、その内容が正確で最新であることを保証するものと
します。
3. 診断条件、診断対象の変更・追加の方法について
(1) 甲はサービス開始後に、診断条件、診断対象を変更・追加したい場合は、登録情報の診断対象変更・追加情報欄に、変更・追加
したい情報を記載し乙へ提出するものとします。尚、診断条件と診断対象の変更・追加とは次の項目をいいます。
1.変更前と同システムのグローバルIP情報、ドメインURL情報の変更(無償)
2.グローバルIP情報、ドメインURL情報、クラウドアカウント情報、ロール情報の追加(要追加契約)
3.診断時間の変更(無償)
4.甲の運用(診断)担当者あるいは連絡先(住所、電話番号、メールアドレス、Fax 番号)の変更(無償)
(2) 乙は本項(1)の手順にある変更・追加内容が記載された登録情報を受領後、受領日の翌日から3営業日中に情報を変更し、その
旨を甲へメールで通知し、通知した日の翌営業日から変更した情報内容で診断を実行します。
4. インターネット環境からの診断の承諾
(1) 本サービスによる外部からの接続(アクセス)診断の承諾
甲は、甲の指定する診断対象に対して、乙がインターネットから接続(アクセス)し、診断することを承諾、同意するものとします。
(2) 甲による第三者事業者への診断の承諾
甲は本規約第1項(3).2).(Ⅱ)、及び(3).2).(Ⅲ)に該当する、第三者のデータセンター、あるいはサービスプロバイダの施設内で稼動
しているシステムを本サービスの診断対象とする場合には、甲の責任で、本サービスによる外部からの接続(アクセス)による診断に
ついて、第三者事業者より承諾を得る必要があります。
(3) 第三者事業者からのクレーム発生時の対応
乙が本サービスの診断開始後、本項(2)に該当する第三者のデータセンター、あるいはサービスプロバイダから、ネットワーク調査が
原因で警告(アラート)が発生したなどというクレームがあった場合に、サービス提供を強制的に中断する場合があります。
(4) 本サービスによる診断の中断
万が一、本サービスの診断中に甲のシステムが停止するなどの障害が発生した場合には、乙は甲が指定していた診断時間であっ
ても診断を中断します。
5. 機密保持条件
本サービスの使用、運用のために甲乙間で相互に提供、開示される機密情報の取扱いに関して、次の通りの機密保持条件を定め、
遵守するものとします。
(1) 甲が提供する機密情報
1. 甲が本サービスの利用のために乙へ提供するIPアドレス、システム分類、ドメインURL情報、クラウドアカウント情報
2. 希望診断時間帯
3. その他 甲が機密情報であると指定し、本サービスのために甲が乙へ提供する機密情報
(2) 乙が提供する機密情報(書面、電子媒体いずれも該当します)
1. 乙が功に提供する本サービスの診断結果報告情報
2. その他 乙が機密情報であると指定し、本サービスのために乙が甲へ提供する機密情報
(3) 本サービスで機密情報として取扱わない情報
1. 甲乙いずれかの開示者より開示を受けた時点で既に一般に公開されていた情報、又は既に被開示者が保有していた情
報。
但し、甲が提供する個人情報は除きます。
2. 甲乙いずれかの開示者より開示を受けた後、被開示者の責任が及ばない方法で(被開示者ではない第三者により)一般に
公開された情報。但し、甲が提供する個人情報は除きます。
3. 甲乙いずれかが正当な権利を有する第三者から合法的に入手した情報。
4. 甲乙いずれかの開示者が機密保持義務を課さずに開示した情報。
(4) 機密保持
1. 甲及び乙は、機密情報をいかなる第三者に対しても開示又は漏洩しないものとします。但し、それぞれ相手方から事前の
書面による承諾を得たうえで開示する場合、及び法令の定めにより国又は地方公共団体から義務により開示を求められた
場合はこれにあてはまりません。
2. 本項(4)-1の但し書において、法令の定めにより国又は地方公共団体から開示を求められた場合、甲及び乙は、それが
任意であるときは事前にそれぞれ相手方に対して開示の是非について確認するものとし、義務であるときは開示した事実
及びその内容を直ちに書面で通知するものとします。
6. 個人情報保護条件
乙は甲に本サービスを提供するにあたり、次の条件で個人情報を管理します。
(1) 本サービスで使用する個人情報は次のものをいいます。(書面、電子媒体いずれも該当します)
1. 契約担当者の個人情報(部署名、役職名、氏名、電話番号、メールアドレス)
2. 運用(診断)担当者の個人情報(部署名、役職名、氏名、電話番号、携帯電話番号、メールアドレス)
3. 本サービスの過程で乙が取得した甲の従業員あるいは甲の顧客あるいは利用者の個人情報(住所、氏名、生年月日、部署
名、役職名、電話番号、携帯電話番号、メールアドレス、銀行口座番号、クレジットカード番号)
(2) 本サービスにおける個人情報の取扱方法
1.本サービスにおける個人情報の使用目的
乙は本サービスにおける甲の個人情報を次の目的で使用します。
Ⅰ.本サービスの甲乙間の利用契約の締結
Ⅱ.乙が甲に対して提供する本サービスの診断結果報告
Ⅲ.乙が甲に対して行う本サービスの運用上の連絡
Ⅳ.乙が甲に対して行う本サービスの利用料の請求
2. 本サービスにおける個人情報の維持
乙は甲より取得した本サービスで使用する個人情報を、正しく、不足なく完全に、また最新に維持するように最大限の努力を払
うものとします。
(3) 本サービスにおける個人情報の開示及び変更
乙は本サービスのために取得していた個人情報の開示について次の条件を規定します。
Ⅰ.乙は取得した個人情報を、個人情報の提供者本人の事前の承諾なく、第三者へ販売、貸し出しすることはありません。
Ⅱ.乙は次の場合に取得した個人情報を第三者へ提供、開示することがあります。
(A) 個人情報の提供者本人の事前の承諾を得ている場合
(B) 政府、官公庁、地方自治体からの正式な開示の要求がある場合
(C) 法律、法令施行のために、裁判所から正式な開示の要求がある場合
(D) 甲が本サービスの利用規約条件を遵守せずに、甲の権利、財産、サービスなどを保護するために必要と認められる
状況で、個人情報の提供者本人の事前の承諾の同意を得ることができない場合
(E) 甲、乙に関係する人の生命、身体および財産などに対する差し迫った危険があり、緊急な対応の必要性がある状況
で、本人の同意を得ることが困難な場合
7.本サービスのインターネットホームページ(専用Web ページを含む)のセキュリティ
(1) インターネットホームページのセキュリティ
1. 本サービスで乙が使用するインターネットホームページにおいて、甲の情報を保護するためのセキュリティ対策を実施し、ホー
ムページから収集される甲の情報を次の方法によって保護します。
Ⅰ.甲の情報入力フォームを使用して送信された個人情報は、暗号化ソフトウェアによって暗号化します。
Ⅱ.甲からのお問い合わせフォームのようなセキュリティで保護されたページにおいては、一般によく知られているブラウザの
ページの下部にある鍵アイコンが、ロックされた状態が示されるようにします。
Ⅲ.本サービスではインターネットホームページへの不正アクセスが絶対に発生しないという保証をするものではありません
が、個人情報のセキュリティ保守ならびに不正アクセスの防止について、適切な技術と運用方法により細心の注意を払う
ものとします。
2. インターネットホームページのリンク
本サービスで乙が提供するインターネットホームページにおいて他社サイト(以下「リンク先」といいます)ヘのリンクやバナー等が
設定されている場合でも、リンク先における機密情報及び個人情報管理規約等は、本サービス及び本規約とは関係ありません。
3. セキュリティ監査
Ⅰ.乙は、本サービスに関して、甲の機密情報を本規約の規定通り保護するための対策を実施します。
Ⅱ.乙は、必要に応じて、本サービスで乙が使用するインターネットホームページにおける甲の個人情報の取り扱いと保護に関す
る監査を行います。
Ⅲ.乙は、前(Ⅱ)の監査により、変更や改善を要する場合、個人情報管理者による確認を受け、速やかに対処します。
8. 本サービスの契約、および解約
(1) 本サービスの契約
本サービスの契約は、乙が指定する注文書を甲が乙に提出する事により成立するものとし、提出日より有効となるものとします。
(2) 本サービスの解約
1.甲が本サービスを解約する場合には、甲は本サービスの有効期間内においては、サービス利用料金の支払いを免れないもと
します。
2.年間ライセンス契約の場合においては、期間満了日が属する月の前々月末日までに乙が指定する解約申込書を甲が乙に提
出するものとします。特に提出が無かった場合には、同一条件にて1年間契約更新されるものとし、以降も同様とする。
3.甲が本サービスの内容について本規約に定める内容と異なる旨を書面にて申立て、乙がそれを認めた場合には、乙は料金
の払い戻しをします。なお、払い戻し額については、乙が算出するものとします。
9. 本サービスの有効期間
(1) 本サービスにて提供する診断ライセンスの有効期間は、診断開始、もしくは登録開始から1
年間とします。
(2) 前号の有効期間満了後といえども(本規約第8項「本サービスの解約」及び第14項「前項による途中解約」による本サービスの終
了も含みます)、本規約第5項(機密保持条件)及び第6項(個人情報保護条件)の規定は、有効期間満了日の翌日より2年間は
なお有効に継続するものとします。
10. 知的財産権の帰属
診断結果に関する著作権、ノウハウ及びその他知的財産権は、乙に帰属するものとします。ただし、甲が自社内において使用、複製
することを妨げません。また、診断結果報告が第三者の知的財産権を侵害していないことを乙は保証します。
11. 診断結果の開示
甲及び乙は、診断結果報告を相手方の承諾なく、第三者に対し開示しないものとします。
12. 免責事項
地震、津波、その他の天変地異等、乙に帰責しない原因により、乙から甲への本件サービスの実施が不可能な場合、乙はその結果
について一切免責されるものとし、甲および乙は診断条件の変更について協議するものとします。
13. 期限の利益の喪失
甲に次の各号のいずれかに該当する事由が発生した場合、甲は、乙に対する債務の支払いについて期限の利益を失い、直ちに債
務を弁済するものとします。
(1) 仮差押、差押、競売の申請、または破産、再生手続開始、会社更生手続開始の申立があった場合
(2) 営業を休止または廃止した場合
(3) 支払を停止した場合、または振出もしくは引き受けた手形および小切手が不渡処分を受けた場合
(4) 取締役会または代表取締役が営業の全部または一部の譲渡もしくは譲受を決定もしくは承認した場合
(5) 取締役会または代表取締役が解散を決定もしくは承認した場合
14. 前項による途中解約
甲及び乙は、相手方に本規約第13項の(1)から(5)のいずれかに該当する事由が発生した場合、別段の催告を要せずに書面による
通知をもって本サービスを解約することができるものとします。
尚、本項に基づく途中解約がなされた場合、本規約第1項(9)に定める本サービス代金の取り扱いは、その途中解約の事由が甲に発
生した場合は本規約第8項(1)-1の定めに、乙に発生した場合は同項(2)-2の定めに基づき処理されるものとします。
15. 権利義務の譲渡制限
甲及び乙は、本規約に基づく権利および義務を相手方の書面による事前の承諾を得ることなく第三者に譲渡し、または担保に供することはできないものとします。
16. 合意管轄
本規約に定めなき事項または本契約の解釈に疑義が生じた場合には、甲乙協議のもと解決するものとします。協議によっても解決ができず訴訟の必要が生じた場合は、東京地方裁判所を第一審管轄裁判所とすることに甲及び乙は合意します。
17. 規約の変更
本規約は、合理的な範囲で改訂ができるものとします。
【附則】
2016年6月1日制定
【附則】
2022年12月1日改定
【附則】
2024年1月1日改定
【別紙1】
|
サービス |
診断対象 |
診断種別 |
対象 |
サービス内容 |
備考 |
|
SecurityBlanket 365 |
Web |
ツール |
年間 |
1サイト診断の1年間ライセンス |
1FQDNに年間無制限で診断可能 |
|
SecurityBlanket Standard |
2回 |
1サイト・2回診断ライセンス |
1FQDNに2回診断可能 |
||
|
SecurityBlanket PF 365 |
システム |
年間 |
1IP診断の1年間ライセンス |
1IPアドレスに年間無制限で診断可能 |
|
|
SecurityBlanket PF
Standard |
1回 |
1IP診断ライセンス |
1IPアドレスに1回診断可能 |
||
|
|
|
|
|
|
|
|
サービス |
診断対象 |
診断種別 |
対象 |
サービス内容 |
備考 |
|
SecurityBlanket Pro |
Web |
手動 |
基本料金 |
フル手動診断 |
10URL
3IP※3 報告会・再診断含む |
|
追加1URL |
基本料金範囲外の対象追加 |
|
|||
|
SecurityBlanket Advance |
手動+ツール |
基本料金 |
自動+主要箇所手動診断 |
報告会・再診断含む |
|
|
1URL |
手動診断1URL追加 |
|
|||
|
SecurityBlanket PF Pro |
システム |
手動 |
基本料金 |
手動システムプラットフォーム診断 |
3IP 報告会・再診断含む |
|
追加1IP |
|
|
|||
|
|
|
|
|
|
|
|
サービス |
診断対象 |
診断種別 |
対象 |
サービス内容 |
備考 |
|
ペネトレーションテスト |
Web |
ツール/手動 |
基本料金 |
エンジニアにより疑似攻撃・侵入テスト基本料金 |
|
|
対象追加 |
サーバ、クライアント等の対象追加 |
IPアドレス単位 |
|||
|
サービス |
診断対象 |
診断種別 |
対象 |
サービス内容 |
備考 |
|
コンプライアンス診断 |
クラウドサービス |
ツール |
1回 |
1アカウント・1ロール・1回診断 |
|
|
手動 |
1回 |
||||
|
サービス |
診断対象 |
診断種別 |
対象 |
サービス内容 |
備考 |
|
SecurityBlanket for
Mobile |
モバイルアプリケーション |
ツール |
1回 |
1アプリ・1ロール・1回診断 |
iOS・android |
|
手動 |
1回 |
||||
|
サービス |
診断対象 |
診断種別 |
対象 |
サービス内容 |
備考 |
|
ツール設定代行 |
Web |
オプション |
1回 |
クローリング等の設定代行&初回診断 |
|
|
オンサイト費用 |
共通 |
オンサイト診断(3日以内)※日数により変動する |
交通費別途 |
||
|
報告会 |
お客様先での報告会 |