ニュース情報です
脆弱性対応ポリシー
発表時間です: 2026-01-05
1. 脆弱性開示について
当社は製品の製造元として、自社製品およびサービス事業のセキュリティを非常に重視し、ユーザーのプライバシーとデータセキュリティを最優先に考えております。各方の協力は企業セキュリティに不可欠な要素です。当社製品をご使用中に潜在的なセキュリティ脆弱性を発見された場合は、速やかに開示いただけますようお願いいたします。詳細は本脆弱性開示ポリシーに従って対応いたします。当社には、お客様が報告された問題をフォローアップ、分析、処理し、公開する専門担当者がおり、タイムリーにご返信いたします。
2. 脆弱性フィードバックと処理プロセス
2.1 脆弱性フィードバック
当社はすべてのユーザーのセキュリティ体験を最優先に保障いたします。当社製品をご使用中に、潜在的なセキュリティ脆弱性や問題がございましたら、速やかにフィードバックいただけますようお願いいたします。お客様の積極的なご参加が、製品のセキュリティ向上の鍵となります。
フィードバック手順:
- 問題の説明: セキュリティ問題または特定された脆弱性について、該当する製品モデル、発生した具体的な状況を含めて詳細にご記述ください。
- 情報の収集: 可能であれば、問題の再現手順、影響、関連するスクリーンショットまたはログをご提供ください。
- 報告内容の送信: メールにて mailto:sales@szcecb.com に送信して製品セキュリティチームに報告するか、カスタマーサービスからお問い合わせください。
2.2 脆弱性処理フロー
- 報告者は可能な限り脆弱性の詳細情報を提供する。
- 当社は受領した脆弱性情報を確認・検証し、評価する。
- 脆弱性を修正し、製品の修正状況を検証する。
- 更新のための新バージョンの製品をリリースする。
- 報告者に処理結果を返信する。
- 更新後、製品の安定性を監視する。
2.3 脆弱性レビュー段階
- フィードバック情報は受領後 3営業日以内 に確認し、初期報告を提出して評価を行う。
- 評価は 7営業日以内 に完了する。
- 脆弱性が確認された場合、修正計画を策定する。具体的な修正期間は脆弱性のレベルに応じて決定する。
2.4 脆弱性修正と完了段階
- 緊急性脆弱性: 評価完了後 3営業日以内 に修正する。
- 高リスク脆弱性: 評価完了後 7営業日以内 に修正する。
- 中リスク脆弱性: 評価完了後 30営業日以内 に修正する。
- 低リスク脆弱性: 評価完了後 60営業日以内 に修正する。
最終的な修正期間は実際の状況により決定されます。深刻または重大な影響を及ぼす脆弱性については、個別の緊急セキュリティ公告を発行します。
3. 脆弱性格付基準
脆弱性の危険度に基づき、以下の4つのレベルに分類されます:極端リスク、高リスク、中リスク、低リスク。脆弱性報告を受領した際、当社は ISO/IEC 30111 に準拠した一連の措置を社内で実施します。すべての報告された脆弱性は、CVSS 3.1(共通脆弱性スコアリングシステム) 基準に基づきスコアリングされます。
3.1 緊急性脆弱性
- リモートでシステム権限(サーバー権限、クライアント権限、スマートデバイス)に直接アクセスできる脆弱性。任意コード実行、任意コマンド実行、WebShellトロイの木馬のアップロード・使用などを含むがこれらに限定されない。
- コアビジネスシステムに論理設計上の欠陥が存在するもの。任意のアカウントパスワード変更(いかなる保護制限もなし)、任意アカウントログインなどを含むがこれらに限定されない。
- コアデータベースの漏洩に直結する深刻な脆弱性。SQLインジェクション脆弱性などを含むがこれらに限定されない。
- サーバー側:インターネット環境においてリモートでデバイスにアクセスし実行権限を取得するもの(例:他の権限のダウンロード、ユーザーデータ、デバイスへのリモートアクセスなど)。インターネット上で認証をバイパスしてリモートコマンドを実行する脆弱性。
3.2 高リスク脆弱性
- オンラインサーバー上の機密情報の漏洩に直結するもの。コアシステムのソースコード漏洩、サーバーの機密ログファイルのダウンロードなどを含むがこれらに限定されない。
- 他者の身分を利用してすべての機能を実行できるもの、重要なコアビジネスシステムまたは機密情報への未承認アクセスなど。
- 管理プラットフォームおよび管理者機能への未承認アクセス。バックエンド管理者アカウント、関連プラットフォームのアクティビティ、ユーザーグループ、重要機能、ユーザーの機密情報などを含むがこれらに限定されない。
- この脆弱性を利用して機密データの大量漏洩を引き起こすことができるもの、大量のユーザー身元情報の漏洩を引き起こすことができるものを含むがこれらに限定されない。
- デバイス:ローカルエリアネットワーク(LAN)内で未承認でデバイスの実行権限を取得するもの(例:他のユーザーデータのダウンロードまたはデバイスへのリモートアクセス)。LAN内のインタラクティブなリモートコマンド実行脆弱性。
- サーバー側:デバイスの永続的なサービス拒否を引き起こす脆弱性。システムデバイスへのリモートサービス拒否攻撃(デバイスが再使用不能、完全に永久損壊、またはシステム全体の書き直しが必要)などを含むがこれらに限定されない。
3.3 中リスク脆弱性
- 一般的な情報漏洩。平文でのパスワード保存、サーバーまたはデータベースの機密情報を含むもの、ソースコード圧縮パッケージのダウンロードなどを含むがこれらに限定されない。
- 論理設計上の欠陥。システム内に存在する欠陥。例:温度、過電圧などの保護ロジックの欠陥など。
- ユーザーの身元情報を取得するためにインタラクションが必要な脆弱性。CSRF、ストアドXSS、JSONPハイジャックによる機密情報漏洩などの機密操作に限定されるものを含むがこれらに限定されない。
- 特定の機能が無効化される可能性のあるサービス拒否脆弱性。
- ユーザーが他者の身分を利用してすべての機能を実行できるもの、特に自身の権限を超えた操作を実行できるもの。
3.4 低リスク脆弱性
- フィッシング攻撃に悪用される可能性のある脆弱性。URLリダイレクト脆弱性などを含むがこれらに限定されない。
- 低リスクの論理設計上の欠陥。
- 副次的な情報漏洩脆弱性。パス情報漏洩、gitファイル漏洩、サーバー側の業務ログ内容などを含むがこれらに限定されない。
- フィッシングまたはハッキング攻撃に悪用される可能性のある脆弱性。任意のURL調整、リフレクティブXSS脆弱性などを含むがこれらに限定されない。
- デバイスの一時的なサービス拒否を引き起こす脆弱性。一時的なサービス拒否攻撃により発生する脆弱性などを含むがこれらに限定されない。
3.5 対象外の問題
- システムバグ(セキュリティ問題ではない)セキュリティに関係のない問題。例:通信速度の遅延、ページの表示崩れ、レイアウトの乱れなど。
- 報告内容が簡潔すぎて脆弱性を再現できないもの、何度やり取りしても再現できないもの。
- 無害/悪用不可能な脆弱性。悪bRF、ローカルDoS(他者に影響しない)、Self-XSS、PDF XSS、非機密情報漏洩(内部ネットワークIP/ドメイン名)、メール爆破など。
- 実用性のないソースコード漏洩。ソースコードが漏洩しているが実際の悪用価値がないもの。
- 当社のモジュール/ハードウェアの問題ではないもの。
- 既知/既に開示済みの脆弱性。
- 保守が終了した製品。
- 社内で既知かつ修正済み、当社が自行検証済みの脆弱性。
- サードパーティコンポーネントの責任。
当社に提供されたすべての製品脆弱性情報(製品脆弱性報告書に含まれるすべての情報を含む)は、当社の所有物となり、当社が使用するものとします。
当社は本ポリシーを随時変更する権利を留保します。
連絡先
QRコードをスキャンして、ぜひフォローしてください