脆弱性対応プロセス
当社製品・サービスに影響する可能性のある脆弱性情報を収集・評価し、評価結果に応じて、当社製品・サービスの対応、および各国・業界のセキュリティ機関やお客様への連携を迅速に行い、セキュリティインシデントの未然防止に努めます。
当社は、お客様や国際社会のセキュリティ活動と協調するため、各国・業界のセキュリティ機関と脆弱性情報を適切に連携できるよう独立行政法人情報処理推進機構が推進する「情報セキュリティ早期警戒パートナーシップ
」に参画しています。
また、当社製品・サービスに影響する脆弱性への対応を適切に行うため、セキュリティインシデントに関する国際的なフォーラムであるFIRSTが提供するフレームワーク「PSIRT Services Framework」を参考に、脆弱性対応プロセスを構築しています。各ステップの概要は、以下のとおりです。
1. 脆弱性情報の入手
当社製品・サービスに影響する可能性のある脆弱性情報を社内外から入手しています。
広く脆弱性情報を入手できるよう、お客様および各国・業界のセキュリティ機関や研究者からのお問い合わせやご報告を受け付けております。
当社製品・サービスの脆弱性に関する情報のご報告は、以下よりお願いいたします。
2. 脆弱性の評価
社内外から入手した脆弱性情報について、当社製品・サービスへの影響を評価します。
社外からご報告いただいた脆弱性情報について、必要に応じて追加の情報提供をお願いする場合があります。
3. 脆弱性への対応
当社製品・サービスに影響する脆弱性であることを確認した場合、セキュリティリスクに応じて、脆弱性への対応を行います。
社外からご報告いただいた脆弱性情報について、対応が完了するまでご報告者様のご意向に沿いコミュニケーションを継続させていただきます。
4. 脆弱性情報の開示
当社製品・サービスの脆弱性への対応の一貫として必要な場合、脆弱性情報を開示します。
当社は当社製品・サービスのお客様や国際社会のセキュリティ確保のため、「脆弱性開示ポリシー」を定めています。セキュリティ研究者など、脆弱性情報をご提供いただく方は、当社のポリシーを事前にご理解いただきたくお願いいたします。また、ご自身で脆弱性情報を開示される場合は、当社ポリシーの趣旨をご理解の上、社会全体のセキュリティリスクのコントロールにご協力をお願いいたします。
脆弱性開示ポリシー
当社の情報開示により、お客様や国際社会のセキュリティリスクが高まらないよう、脆弱性開示ポリシーを定めています。
開示先
脆弱性情報の開示先は、原則として、脆弱性情報に基づきセキュリティ対策を行う等、脆弱性情報を必要とする方としています。当社製品について所有者を特定できない場合は当社ウェブサイトでのWeb公開、特定できる場合は限定開示等、脆弱性情報の開示先に応じた開示手段を検討させていただきます。
開示内容
脆弱性情報の開示内容は、原則として、脆弱性の影響対象や影響内容、セキュリティ対策方法等、セキュリティ対策に必要な情報としています。
社外からご報告いただいた情報に基づき脆弱性情報を開示する場合、事前に開示内容をご報告者様と調整させていただきます。
脆弱性情報の開示に貢献いただいた方へは、同意いただいた上で開示内容に謝辞を記載させていただきます。 複数の方から同等の情報をご報告いただいた場合は、最初のご報告に対して謝辞を記載いたします。
開示タイミング
脆弱性情報は、原則として、以下の2つの条件をいずれも満たした時点で開示します。
- (1) 十分な対策方法を提供できる状態であること。
- (2) 社外を含めた関係者間で調整された開示日であること。
開示情報の取り扱い
当社が開示した情報について、当社の許可を得ずに、その内容の全部または一部を転載・再利用しないようご注意ください。