脆弱性公開ポリシー
はじめに
ファナック(以下「当社」)では、当社商品のセキュリティを確保し安全にお使いいただくため、PSIRT(Product Security Incident Response Team)を設置して商品に関わる脆弱性への対応を行っています。脆弱性の対策方法を適切に提供し、お客様のセキュリティリスク低減に貢献するため、「ISO/IEC 29147¹」および「情報セキュリティ早期警戒パートナーシップ²」に則り、脆弱性関連情報を公開いたします。
以降では、当社における脆弱性対応プロセスの概要とあわせて、下記の2点をご説明いたします。
- 当社商品に関する脆弱性をご連絡いただく方法
- 当社商品のセキュリティアドバイザリの提供方法
- ¹ ISO/IEC 29147 - Vulnerability disclosure
- ² IPA「情報セキュリティ早期警戒パートナーシップガイドライン」
当社商品の脆弱性対応プロセス
脆弱性関連情報の入手
当社商品の脆弱性を発見した場合は、以下のウェブフォームよりご連絡をお願いいたします。通常2営業日以内に受領した旨をご連絡いたします。
なお、ご連絡いただく際は、以下の情報もあわせてご提供いただきますようご協力をお願いいたします。
- 脆弱性が発見された商品名およびバージョン
- 脆弱性の内容
- 脆弱性の検証方法
- 想定される脅威および影響
ご提供いただいた情報に含まれる個人情報につきましては、当社の「個人情報保護ポリシー」に従って適切に管理いたします。
調査
ご連絡いただきました商品の脆弱性に関する情報は、当社の関係部署にて、速やかに調査を実施いたします。なお、必要に応じて追加の情報提供をお願いする場合があります。当社は、ご連絡いただいた情報をもとに、まずは脆弱性の再現性や商品への影響の有無を検証いたします。この結果、商品への影響が無いと判断した場合には、その旨をご報告者様にご連絡するとともに、対応を終了いたします。
また、当社商品への影響があることが確認された場合には、さらに脆弱性の根本原因や影響の大きさを調査、分析いたします。当該調査の状況は、適宜ご報告者様に共有いたします。
対策
当社は、商品の脆弱性の原因および影響の調査結果に基づき、脆弱性への対策の実施と情報公開の準備を行います³。当該対策には、ソフトウェアアップデートの配信や回避策の提供などが含まれます。
- ³ 対策の実施および情報公開の準備に必要な期間は、脆弱性のリスクの大きさ、影響範囲、その他関連する要因によって異なります。
脆弱性関連情報の公開
当社は、脆弱性への対策の実施および情報の公開の準備が整い次第、当該脆弱性の内容と対策方法を記載したセキュリティアドバイザリを以下のページに公開いたします4。
- 4 当社が発行するテクニカルレポートやお客様への個別連絡等で情報を提供する場合があります。
なお、脆弱性の情報の公開にあたっては、公表日一致の原則に従い、ご報告者様や調整機関(JPCERT/CC5)を含む、社内外の関係組織と公表日を調整いたします。
- 5 Japan Computer Emergency Response Team Coordination Center
更新情報
- 2023-07-06 新規公開