Agreement & Article サーバソフトウェアの管理ポリシー

弊社では、原則としてサービスでご提供しているサーバソフトウェアに、リモートから任意のコマンドを実行することが出来る脆弱性(*1)(以下「リモートからの脆弱性」)が発見された場合、該当サーバソフトウェアを、弊社によるサーバソフトウェアのアップデート対象とさせていただきます。

*1 サーバ開通時点の設定状態において、正当なアカウント権限を必要とせずに、リモートから任意のコマンドを実行可能なセキュリティホールが発生した場合を指します。

【対象となるサーバソフトウェアについて】

• アップデート作業の対象となるサーバソフトウェアは、弊社が提供をしているOSに標準で含まれており、弊社がサーバにインストールを実施したサーバソフトウェア、及びバージョンが対象となります。
• 弊社によるアップデート作業は、OSの開発元が公開している正規の修正パッケージを用いて実施します。開発元が提供する正規の修正パッケージ以外では原則としてアップデート作業はおこないません。

但し、以下に上げるケースの場合は、弊社のアップデート作業対象外となりますので、お客様にて必要なアップデート作業をおこなってください。

【アップデート作業の対象外となるケース】

• お客様自身がインストールされたソフトウェアの場合
• 弊社がインストールしたソフトウェアでも、お客様が設定変更をおこなっている場合
  例　：
  お客様が、PHP の設定で safe_mode やregister_globals をデフォルトのOnからOffに変更している場合
  お客様がPlesk の設定をWeb経由ではなく直接設定ファイルを書き換えている場合
• お客様自身がプログラムファイルの入れ替えを行っている場合
• 弊社がインストールを実施したサーバソフトウェア、及びバージョンであっても、事前にアップデート作業対象外である旨を告知している場合
• 弊社が開発していないインフラ基盤サービスの場合
  例　：AWS/Azure/Alibaba Cloud/ニフクラ等
• OSベンダーが提供していないソフトウェアの場合
  例　：CentOSの場合、epel等の外部リポジトリ等が提供しているソフトウェア

【お客様へのアナウンスについて】

• 本管理ポリシーのアップデート対象となる脆弱性が発見された場合、弊社よりお客様へご連絡をいたします。
• 弊社でのアップデートを実施する場合、弊社より作業予定日時をご案内させていただきます。原則、お客様による作業時間のご指定はお受けしておりません。

【注意事項】

• お客様自身がインストールされたサーバソフトウェアに、リモートからの脆弱性が存在している場合、お客様自身で速やかにサーバソフトウェアのアップデート作業をお願いします。
  リモートからの脆弱性発見後もアップデート作業がなされていない場合、不正アクセス、あるいは、踏み台とされて第三者への攻撃拠点とされることを防ぐため、弊社の判断でインターネットからサーバへの接続を切り離させていただく場合があります。 この場合の損害について弊社は一切の責を負いません。
• 弊社でのサーバソフトウェアのアップデート作業は最善の注意のもとに実施を致しますが、作業に伴ういかなる不具合も、弊社ではその責を負いかねます。また、開発元やパッケージ提供者のポリシー変更によるサーバソフトウェアの動作仕様の変更についても同様とさせていただきます。
• 弊社によるアップデート対象ソフトウェア以外のソフトウェアにつきましては、お客様の責にてアップデートを実施の要否をご判断下さい。なお、弊社では、OS 開発元の提供する修正パッケージについていかなる保証もいたしかねますため、アップデート作業後の影響につきましては、弊社は一切の責を負いません。
• お客様が利用されているOSにはサポート期間が存在します。開発元からのサポートが終了すると、継続してサーバをご利用いただくことが出来ません。サポートが終了する前に、サポートが継続されているOSへ乗り換えをお願いします。 弊社が用いるOSのサポート期限は以下の通りです。

※CentOS Product Specifications https://wiki.centos.org/About/Product (End of Lifetime (EOL) Dates 参照)
CentOS は、コミュニティにて運営・保守されており、コミュニティの運営状況によりサポート期限が前後する可能性があります。
※Red Hat Enterprise Linux Life Cycle https://access.redhat.com/support/policy/updates/errata/