お陰様で創業47周年

未来を創造するモリタ電器は
常にイノベーションを起しつづける『 100年企業 』を目指します。
Thanks to all of you, we are celebrating our 47th anniversary.
Morita Electric creates the future,Constantly innovating,
We aim to become a 100-year company.

VISION

セキュリティ脆弱性管理

セキュリティ脆弱性管理

概要

株式会社モリタ電器の製品ネットワークセキュリティ処理チーム(PNSPT)は、モリタ電器の製品におけるセキュリティ脆弱性の対応に専念しています。これらの脆弱性は品質上の欠陥とは異なり、攻撃者が悪用して初めて被害を引き起こします。PNSPTは関連基準に基づきセキュリティ問題を管理し、脆弱性を低減するとともに、顧客への被害を最小限に抑えるため、タイムリーなリスク軽減策を提供することをお約束します。

脆弱性の提出

  • セキュリティ責任者、組織、顧客、サプライヤーからの報告を奨励しています。
  • 報告には、製品の概要、製品モデル、ソフトウェアバージョン、および連絡先情報を記載のうえ、info@mrt-electric.com宛に電子メールでご連絡ください。
  • 当社は、解決策が提供されるまで、当該情報の機密性を保持します。

脆弱性処理方式

  1. 脆弱性受付
    脆弱性報告を受領後、分析を行い、5日以内に顧客へ回答します。
  2. 脆弱性審査
    セキュリティエンジニアが脆弱性の深刻度を分析し、影響範囲と潜在的な影響を特定します。
  3. 脆弱性検証と修正
    脆弱性の有効性を技術的に検証し、セキュリティエンジニアが30日以内に修正計画またはリスク軽減策を策定・実施します。
    必要に応じてベンダーと連携し、脆弱性を修正します。
  4. 脆弱性開示と通知
    脆弱性修正後、開示ページにて関連情報を公開します。影響を受けるデバイスに対し、60日以内にセキュリティ更新プログラムの配信を完了します。対策が確立されるまでは、データの保護と機密保持に努めてください。法令規制を遵守し、取得したデータを保護してください。本ポリシーに従い、善意かつ適法に脆弱性をご報告いただいた方に対して、当該報告行為を理由として法的責任を追及することはありません。

脆弱性評価基準

高危険度(High / Critical)

  1. 権限越境またはリモートコマンド実行の脆弱性が存在し、パブリックネットワーク環境下で単一デバイスまたは複数デバイスに対する完全な制御をリモートで実現可能。
    攻撃者は物理的な接触なしにデバイスの高権限を取得でき、影響範囲が広範。
  2. リモートで一括悪用可能な制御系脆弱性が存在し、LAN外から多数のデバイスに対して同時に高権限操作を実行可能。
    本脆弱性は大規模攻撃の条件を満たし、広範囲なセキュリティインシデントを引き起こす可能性がある。
  3. デバイスまたは管理システムにおいて、機密情報が漏洩する脆弱性が存在し、当該漏洩が直接的に広範囲なセキュリティインシデントを引き起こす可能性があります。
    例:暗号鍵(秘密鍵)、証明書、管理者パスワードなどの重要情報の漏洩。
  4. リモートでトリガー可能なサービス拒否(DoS)脆弱性が存在し、多数のデバイスが同時に機能停止または利用不能となる可能性がある。
    業務継続性に深刻な影響を与える。
  5. デバイスのコアセキュリティメカニズムが回避され、攻撃者が永続的な制御能力を獲得する可能性がある。
    ブートチェーン、アップグレードメカニズム、権限分離の無効化などが含まれる。

中危険度(Medium)

  1. 権限越境またはコマンド実行の脆弱性が存在し、単一デバイスへのリモート制御、またはLAN内でのデバイス制御が可能。
    攻撃範囲はネットワーク境界に制限されるが、実用的な悪用価値を有する。
  2. 一般的な権限越境問題、または一部制限されたコマンドのみ実行可能な脆弱性が存在する。
    攻撃者は一定の条件下で操作権限を拡大できるが、全機能を直接制御することは困難。
  3. 情報漏洩脆弱性が存在し、漏洩内容が小規模なセキュリティインシデントを引き起こす可能性がある。
    例:一部設定ファイル、実行ログ、非コアアカウント情報の漏洩。
  4. サービス拒否(DoS)脆弱性が存在し、小規模に悪用され、一部機器のサービス中断を引き起こす可能性がある。
    影響は局所環境または少数の機器に限定される。
  5. 脆弱性悪用に一定の事前条件(ログイン済みアカウント、特定ネットワーク環境、物理的接触など)が必要だが、機器のセキュリティに実質的な影響を与える可能性がある。

低危険度(Low)

  1. サービス拒否脆弱性が存在し、単一デバイスにのみ影響を与え、他のデバイスや全体業務には影響しない。
    攻撃効果は限定的で、復旧コストは低い。
  2. 情報漏洩問題が存在するが、漏洩内容自体が直接セキュリティインシデントを引き起こすには不十分。
    潜在的なセキュリティリスクまたは設計上の欠陥としてのみ現れる。
  3. 権限制御またはアクセス制御の不備が存在するが、直接的な権限越境や機密操作の実行は不可能。
  4. 特定の制限条件下でのみ発生するセキュリティ欠陥が存在し、実環境への影響は小さい。
  5. 脆弱性の悪用難易度が高く、デバイスの機密性・完全性・可用性への影響は低い。

危険度なし(None / Informational)

  1. セキュリティ強化の推奨事項や設定最適化のみに関わる問題で、実際のセキュリティリスクを構成しない。
  2. 漏洩する情報が公開情報またはセキュリティ価値のない内容であり、システムセキュリティに影響を与えない。
  3. 理論上は脆弱性の可能性が存在するが、現在のハードウェアアーキテクチャまたはデプロイ環境では悪用できない問題。
  4. 自動化ツールによる誤検知であり、人的分析によりセキュリティリスクが存在しないと確認された問題。
  5. デバイスの制御、データセキュリティ、または業務継続性に影響を与えない注意喚起的な問題。
ホーム
電話03-6264-6808(代表)メールでのお問い合わせ
03-6264-6808お問い合わせ