製品セキュリティ方針
脆弱性情報公開ポリシー
アイホン(以下、「当社」といいます)では、当社製品の脆弱性を発見した場合、「ISO/IEC 29147」および「情報セキュリティ早期警戒パートナーシップガイドライン*1」に基づき、本ページに記載するプロセスに従って脆弱性に関する情報を適切に公開し、お客様が安心して製品をご利用いただけるよう努めます。
*1
情報セキュリティ早期警戒パートナーシップガイドライン(IPA発行)
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
当社製品における脆弱性情報への対応は、当社PSIRT(Product Security Incident Response Team)にて実施しています。詳細は「セキュリティ対応体制」をご覧ください。
脆弱性情報の収集
当社は製品の情報セキュリティ品質向上のために、 製品の脆弱性に関する情報を社内外から収集しております。また、当社製品を利用いただいているお客様からの情報も受け付けています。製品の脆弱性を発見された場合は、以下に記載の当社対応窓口へご連絡ください。
当社連絡窓口に届け出る
連絡窓口:脆弱性連絡フォーム
ご連絡にあたり、以下の情報のご提供をお願いいたします。
- 製品品番・バージョン
- 脆弱性の内容、脆弱性による影響
- 脆弱性の再現手段、概念実装コードまたは攻撃コード
- 報告者の氏名、電話番号、メールアドレス
当社連絡窓口を通してご連絡いただいた後、受信日を起点として5営業日以内に受信した旨をご報告者様にご連絡いたします。なお、年末年始、夏季休業、ゴールデンウィークなどの期間は連絡が遅くなる可能性がある旨ご了承ください。
なお、場合によっては脆弱性情報をご連絡いただいてもご対応できない場合がございます。脆弱性情報のご連絡にあたりましては以下のリンクよりサポート対象か否かのご確認をお願いいたします。
ソフトウェアのサポート状況
提供されたお客様情報や製品脆弱性情報は、当社の定める個人情報保護方針に従って管理します。詳細は、下記リンクをご確認ください。
個人情報保護方針
脆弱性の調査・対策
脆弱性が報告された場合、製品に対する影響調査を実施します。影響の有無・度合いを考慮のうえ脆弱性かどうかの判断を行い、対策が必要と判断した場合には製品開発部門と連携し、対策を実施します。
情報公開
製品開発部門にて脆弱性対策が完了すると、セキュリティアドバイザリの作成を行います。セキュリティアドバイザリの公開については、JPCERTが定める「公表日一致の原則」に従ったスケジュール調整を行います。
一般公表前の脆弱性について、影響度や対策方法が不明確な段階で一般公表された場合、悪意のある第三者により悪意のあるコード(攻撃コード)が開発され、流通し、脆弱性の影響を受ける製品が攻撃される可能性があります。結果として製品利用者に被害が及ぶ可能性があります。また、特に複数の製品が影響を受ける脆弱性の場合には、関係者間で一定の足並みをそろえて公表することが重要です。関係者間で調整した一般公表日時を待たずに、単独で情報を公表することは、製品利用者を危険にさらす可能性があります。海外機関との国際的な調整案件においては、情報開示の時期を誤った場合(一般公表日前に単独での情報公開を行った場合)、海外機関によって当該開発者を今後の脆弱性関連情報のハンドリングから外す措置が取られることがあります。
そのため、弊社が製品開発ベンダーとして登録している「情報セキュリティ早期警戒パートナーシップ」などとの間で、必要に応じて公表日を調整して対策を進めます。公表日時の決定は、JPCERT/CC「脆弱性関連情報取り扱いガイドライン」の記載どおり、脆弱性関連情報の取扱いを開始した日から起算して45日以内を目安とします。
セキュリティアドバイザリは当社の以下のサイトにて公開しています。
セキュリティアドバイザリ
当社製品の脆弱性の発見または解決に貢献いただいた方につきましては、謝辞の掲載に同意いただいたうえで、対象のセキュリティアドバイザリに謝辞を掲載いたします。同一の脆弱性について複数の個人・団体からご連絡があった場合は、最初のご報告者様に対して謝辞を掲載いたします。
参考情報
-
JPCERT/CC
https://www.jpcert.or.jp/ -
Japan Vulnerability Notes
https://jvn.jp/index.html
免責事項
当社は、コンテンツ、その他の本ウェブサイトで提供される情報等(以下、総称して「コンテンツ等」といいます。)の内容に関し、その正確性、有用性、確実性、その他いかなる保証もするものではありません。コンテンツ等のご利用により万一何らかの損害が発生したとしても、当社は一切責任を負いません。
当社は、本ウェブサイトの運営を予告なしに中断または中止することがあります。また、当社は、本ウェブサイト上に記載されている事項を予告なしに変更または中止することがありますので、あらかじめご承知ください。