ATOP製品サイバーセキュリティ脆弱性ディスクロージャーポリシー
1. 目的
本ポリシーは、製品のサイバーセキュリティ脆弱性の特定、評価、緩和、情報開示に関する体系的なアプローチを確立することで、顧客および関係者を保護し、潜在的なセキュリティリスクをタイムリーかつ効果的に管理することを目的としています。
2. 対象範囲
本ポリシーは、ATOPが開発、製造、配布するすべての規格製品(ハードウェア、ファームウェア、ソフトウェア)に適用されます。カスタマイズされた製品または非規格製品には別の合意やポリシーが適用される場合があります。
3. 定義
- 脆弱性:セキュリティを侵害する可能性のある製品の弱点。
- PSIRT:製品セキュリティインシデント対応チーム。
- CVSS:脆弱性の深刻度を評価する共通脆弱性スコアリングシステム。
4. 役割と責任
- PSIRT:評価、調整、連絡を含む脆弱性管理を主導します。
- 製品開発:PSIRTと協力して脆弱性を調査・修正します。
- 品質保証:修正措置の有効性を検証します。
- カスタマーサポート:脆弱性と対応策を顧客に伝達します。
5. 脆弱性の報告
ATOPが、潜在的な脆弱性については、責任ある情報開示を積極的に行います。報告は「脆弱性報告フォーム」に記入するか、PSIRT@atop.com.tw宛てにメールでご連絡いただけます。潜在的な脆弱性を報告する際には、問題の性質と潜在的な影響をより深く理解するために、以下の情報を可能な限り多く含むようお願いいたします。
- 製品名及びモデル名
- ソフトウェア/ファームウェアのバージョン
- 脆弱性の説明
- 再現手順(可能であればスクリーンショットまたはコードを含む)
- 共通脆弱性一覧(CWE)ID(既知の場合)
- 共通脆弱性識別子(CVE)ID(既知の場合)
- CVSSスコア(既知の場合)
- CVSSベクター文字列(既知の場合)
- 概念実証コードまたはエクスプロイトコード
- 攻撃者がこの脆弱性を悪用する方法
- 攻撃プロセスのパケットキャプチャ
- 提供可能な追加情報
6. 脆弱性管理プロセス
6.1. 受領確認
ATOP PSIRTは、脆弱性報告を受領後、2営業日以内に最初の確認通知を発行し、今後の対応を決定するための予備評価を開始します。
6.2. 分類と評価
報告された問題を徹底的に審査し、報告の正当性を検証し、潜在的な影響、悪用可能性、および影響範囲を判断します。重大度は、共通脆弱性評価システム(CVSS)を用いて評価し、内部モデルに基づく補足的なリスク分析も行います。
6.3. 調査
PSIRTは、エンジニアリングチームおよび製品開発チームと緊密に連携し、根本原因の調査、影響を受ける製品バージョンの確認、そして問題が当初報告された範囲を超えているかどうかを評価します。
6.4. 是正措置と緩和策
重大度に応じて、適切な改善方策を策定します。これには、ソフトウェアまたはファームウェアのパッチ、構成の調整、一時的なワークアラウンドなどが含まれる場合があります。緊急または影響度の高い問題の場合は、完全な解決策が提供される前に暫定的なガイダンスが発行される場合があります。
6.5. 開示
解決策が利用可能になった際、または解決策が必要と判断された場合、製品セキュリティアドバイザリが公開されます。これらのアドバイザリでは、脆弱性の性質、影響を受ける製品とバージョン、CVSSベースの深刻度評価、および関連するリスクを軽減するためのお客様への推奨アクションについて簡潔に説明いたします。
7. 深刻度分類(CVSS)
8. コミュニケーション
当社は、以下のチャネルを通じてセキュリティに関する情報を提供しています:
- 重大な脆弱性:影響を受けるお客様には、電子メールまたは通知文書にて直接ご連絡いたします。
- 製品ドキュメント:製品マニュアルやファームウェアのリリースノートにおける更新情報。
- ウェブサイトの更新:公式サポートページ上でのセキュリティアドバイザリの掲載。
- (オプション)月次メール配信:ご登録ユーザー様向けに、最近のサイバーセキュリティ関連の製品変更情報をまとめたメールを月1回お届けいたします。
これらのアップデートを受け取るには、承認されたビジネス用メールアドレスを使用して、ATOPのウェブサイトにご登録いただく必要があります。
9. ポリシーの見直し
このポリシーは年1回または必要に応じて見直されます。
10. 免責事項
本ポリシーおよび関連手続きは、予告なく随時更新される可能性があります。報告されたすべての問題に対して対応または開示を行うことを保証するものではありません。本書または関連する助言に記載された情報の使用は、すべて利用者自身の責任において行っていただきます。