- Home
- お問い合わせ
- 商品・サービスセキュリティ
- 脆弱性公開ポリシー
商品・サービスセキュリティ
脆弱性公開ポリシー
1.はじめに
OKIグループでは、OKIグループの商品・サービスに対して日々発見される新たな脆弱性に対応するために、体制を構築し、対処に取り組んでいます。脆弱性情報をハンドリングする目的でPSIRTを創設し、情報セキュリティ早期警戒パートナーシップ(注1)に参画するなど、商品に関する脆弱性対策を推進しています。
以降の章では、OKIグループにおける脆弱性対応の概要、OKIグループの商品・サービスに関する脆弱性の連絡先、お客様への情報提供、届出の取り組みについて記載いたします。
2.OKIグループにおける脆弱性対応の概要
①PSIRT
OKIグループではPSIRT(Product Security Incident Response Team)を設置し、OKIグループの商品・サービスに関する脆弱性関連情報をハンドリングしています。OKI-CSIRT(OKI Computer Security Incident Response Team)と共に活動しています。
②脆弱性情報の収集と共有
OKIグループでは情報セキュリティ早期警戒パートナーシップに基づく社外からの共有や、社内発見者からの報告などにより収集した脆弱性関連情報を、PSIRTと商品開発部門で共有しています。
③脆弱性に関する調査と対策準備
OKIグループの商品開発部門では商品やサービスに対する脆弱性の影響調査を行います。影響がある場合は、対策を検討し、修正手順、修正プログラム、回避手順等を準備します。
④情報公開
商品・サービスの脆弱性対応に関する情報を、当社のウェブサイトや国内の脆弱性対策情報ポータルサイトであるJVN(注2)にて公開します。情報公開は、公表日一致の原則に従い、調整機関(JPCERT/CC)等と取り決めた上で公開します。
3.商品・サービスに関する脆弱性の連絡について
①連絡先と提供いただきたい情報
OKIグループ商品・サービスの脆弱性は、以下ご連絡フォームにてお知らせください。
なお、ご連絡いただく際には、以下情報の提供のご協力をお願いいたします。
- 脆弱性が含まれる商品名
- 脆弱性が含まれる商品のバージョン
- 脆弱性の種類(バッファオーバーフロー、RCE等)
- 脆弱性の詳細な再現手順
- 概念実証コードまたは攻撃コード
- 脆弱性がもたらす潜在的な影響
ご提供いただいた脆弱性の情報については、当社が該当脆弱性の調査・検証等で利用させていただきます。ご連絡いただいた場合、これらの目的で当社がご提供いただいた脆弱性の情報を使用することにご同意いただいたものとして取り扱わせていただきます。
②連絡方法
上記、商品・サービス脆弱性ご連絡フォームにご連絡いただいた後のご報告者様とのやり取りは電子メールにて行います。お客様情報や商品の脆弱性情報といった機微な情報を含む場合には、第三者への意図しない情報の開示を防ぐため、PGPによる暗号化メールでのご連絡をお願いしております。
PGP公開鍵は、「PGP公開鍵」ページから入手できます。
③個人情報保護方針
提供されたお客様情報や商品脆弱性情報は、OKIグループ個人情報保護ポリシーに従って管理いたします。
詳細は、「個人情報保護ポリシー」ページをご確認ください。
4.お客様への情報提供
お客様にOKIグループ商品・サービスのセキュリティ対策情報をお知らせするポータルサイトをご用意しております。本ポータルサイトに掲載される情報の掲載時期は、JVNの情報掲載と同期させています。
5.届出の取り組み
OKIグループでは商品・サービスの脆弱性に対応するのに加え、商品・サービスの研究・開発時に共通の脆弱性を発見した場合には、情報セキュリティ早期警戒パートナーシップに基づいて届出を行い、業界全体のセキュリティ向上に向けた活動にも取り組んでいます。
6.参考
- 注1:情報セキュリティ早期警戒パートナーシップ
情報セキュリティ早期警戒パートナーシップは、脆弱性関連情報を適切に流通させるための枠組みで、情報セキュリティ早期警戒パートナーシップガイドラインに則り運用されています。
情報セキュリティ早期警戒パートナーシップガイドラインは脆弱性関連情報の適切な流通を実現するため関係者に推奨する行為をとりまとめたものです。詳しい内容は下記URLをご参照ください。- 情報セキュリティ早期警戒パートナーシップガイドライン(外部サイト)
- 注2: Japan Vulnerability Notes(外部サイト)
