セキュリティ脆弱性管理
概要
株式会社モリタ電器の製品ネットワークセキュリティ対応チーム(PNSPT)は、当社製品におけるセキュリティ脆弱性への対応に専念する専門組織です。 脆弱性は、一般的な品質上の不具合とは異なり、悪意ある第三者によって悪用されることで初めて被害を引き起こす性質を持ちます。PNSPTは、関連する国際基準に基づき脆弱性管理を行い、リスクの低減に努めるとともに、お客様への影響を最小限に抑えるための適切な軽減策をタイムリーに提供することを基本的責務としています。
脆弱性の提出
- 当社は、セキュリティ研究者、専門組織、お客様、およびサプライヤーからの脆弱性報告を推奨しています。 報告の際は、以下の情報を記載の上、電子メールにてご連絡ください。
- 連絡先: info@mrt-electric.com
- 記載事項:
- ・製品の概要およびモデル名
- ・ソフトウェアまたはファームウェアのバージョン(図番・部品番号等)
- ・脆弱性の詳細(再現手順、期待される影響など)
- ・報告者の連絡先情報
- 当社は、修正策が確立・提供されるまで、報告いただいた情報の機密性を厳格に保持いたします。
脆弱性ハンドリングプロセス
- 報告された脆弱性は、以下のプロセスに従って適切に処理されます。
- 受付・一次回答 報告受領後、速やかに初期分析を行い、5営業日以内に報告者へ回答いたします。
- 脆弱性審査 セキュリティエンジニアが脆弱性の深刻度を分析し、影響範囲と潜在的なリスクを特定します。
- 検証と修正 技術的な検証を実施し、30日以内に修正計画またはリスク軽減策を策定・実施します。必要に応じて構成部品ベンダーと連携し、修正を行います。
- 開示と通知 修正の完了後、当社公式サイトの開示ページにて関連情報を公開します。影響を受けるデバイスに対しては、原則として60日以内にセキュリティ更新プログラムの配信完了を目指します。
脆弱性評価基準
当社は以下の基準に基づき、脆弱性の危険度を評価します。
高危険度(High / Critical)
- リモートからのコマンド実行、デバイスの完全な制御、機密情報(暗号鍵・管理者パスワード等)の漏洩、または大規模なサービス拒否(DoS)を引き起こすもの。
中危険度(Medium)
- 同一ネットワーク内等からの限定的な制御、一般権限の越境、または一部の設定ファイルやログ等の機密性の低い情報の漏洩。
低危険度(Low)
- 単一デバイスのみに影響するサービス拒否、悪用難易度が極めて高い設計上の不備、または復旧コストの低い軽微な問題。
危険度なし(None / Informational)
- セキュリティ強化の推奨事項、誤検知、または現在の環境では悪用が不可能な理論上の問題。
法的責任の免責と遵守事項
本ポリシーに従い、善意かつ適法に脆弱性をご報告いただいた方に対して、当社はその報告行為を理由として法的責任を追及することはありません。 報告者の皆様におかれましても、対策が確立されるまでは情報の機密保持に努め、関連法令を遵守したデータ保護をお願い申し上げます。
株式会社モリタ電器
製品ネットワークセキュリティ対応チーム(PNSPT)
