脆弱性管理のプロセス

ZWSOFTの製品セキュリティインシデント対応チーム(PSIRT)は、当社製品及びソリューションに関するセキュリティの脆弱性に全面的に対応します。これには、脆弱性の受付から特定、処理、そして公開までの一連のプロセスが含まれ、ZWSOFT製品の脆弱性を伝える唯一かつ公式の窓口として機能します。また、お客様や関連者と密接に連携し、迅速に解決策を提供します。

ZWSOFT PSIRTは以下の脆弱性管理プロセスに従って行動します。

  1. 脆弱性の受付
    セキュリティ脆弱性を積極的に監視し、受け付けた後、関連するプロセスを開始し、報告者に確認を行います。
  2. 分析・検証
    詳細な分析と調査を行い、脆弱性を迅速に特定し、その重大度を評価します。
  3. ソリューションの開発
    脆弱性の緩和と修復計画の策定、セキュリティ警報ポリシーの設定に取り組みます。
  4. 情報公開
    修復計画が完了し利用可能になると、関連する脆弱性情報を公開します。
  5. フィードバック
    お客様や企業からの意見を収集し、これらのフィードバックに基づき、計画を継続的に改善していきます。

セキュリティ脆弱性の機密性を考慮し、ZWSOFTの製品セキュリティインシデント対応チーム(PSIRT)は、全プロセスにおいて厳格な管理を行います。これには、個人や組織のID情報、IPアドレス、脆弱性の分析情報など、漏洩のリスクがあるすべての情報が含まれます。また、脆弱性を報告する方々には、ZWSOFTがその情報を公式に発表するまで、秘密を厳守していただく必要があります。

ZWSOFTはセキュリティ脆弱性情報を以下の2つの形式で公開します:

  • SA(セキュリティ勧告):解決策が明確で検証された後、セキュリティ勧告を発行します。これには、一時的な修正措置や確認された技術情報をパートナーやユーザーに提供することが含まれます。
  • SN(セキュリティ・ノーティス):一般的なセキュリティトピックに関する情報を提供します。ZWSOFT製品の脆弱性に関して外部からの指摘があり、それが注目を集めた場合、ZWSOFTは技術的な詳細を確認する前に、進行状況を説明するために関連するユーザーや組織にセキュリティ通知を発行することがあります。

ZWSOFT PSIRTは、製品のセキュリティ脆弱性に関する重要なアナウンスメントを、公式ウェブサイトで迅速に公開します。

ZWSOFTは、本ポリシーに記載されている内容や情報の正確性、完全性、信頼性を保証しているものではなく、明示的または黙示的な保証、特定目的への適合性や第三者の権利侵害の不存在などを含む、いかなる種類の保証も行っていないことをここに明確に声明します。本ポリシーおよび関連するコンテンツの使用や解釈によって生じうる全ての法的責任は、お客様自身が負うものです。また、ZWSOFTはこれらの内容や情報を事前の通告なしに、随時変更する権利を有します。

脆弱性の報告

セキュリティの脆弱性について、「ISO/IEC 29174-2018」では、「脆弱性」をシステム、製品、コンポーネント、サービスにおけるセキュリティポリシーに反する振る舞いや条件セットと定義しています。これらは、セキュリティ上のリスクを引き起こす弱点や暴露点と見なされ、攻撃者が機密性、完全性、可用性、操作性などのセキュリティ属性を侵害するために利用されることがあります。

ZWSOFTの製品セキュリティインシデント対応チーム(PSIRT)に潜在的なセキュリティ脆弱性を報告する際は、電子メールでの連絡が可能です。メールを受信後、当社は迅速に脆弱性の緊急対応プロセスを開始し、必要に応じて確認のためにご連絡いたします。製品のセキュリティ脆弱性情報は極めて機密性が高いため、当社のPGP公開鍵(鍵ID:0x5B3D02EC; PGP fingerprint: FCD3 9262 1D3C 1033 B40A 4DBF 88AE 3627 5B3D 02EC)を使用して情報を暗号化し、安全にZWSOFT PSIRTへ送信することを強くお勧めします。

お問い合わせ先: psirt@zwsoft.com

PGP公開鍵:鍵ID 0x5B3D02EC; PGP fingerprint: FCD3 9262 1D3C 1033 B40A 4DBF 88AE 3627 5B3D 02EC

ZWSOFTの製品セキュリティインシデント対応チーム(PSIRT)では、お客様から報告された脆弱性を迅速に分析、検証、特定するために、以下の情報の提供をお願いしています:

  • 組織名と連絡先の情報
  • 影響を受ける製品またはソリューション、およびそのバージョン
  • 潜在的な脆弱性の詳細な説明
  • 技術的な詳細:システム構成の例、位置決め方法、エクスプロイトの説明、サンプルキャプチャ、POC(概念実証)、問題を再現する手順など
  • エクスプロイトに関する情報
  • 脆弱性の公開に関する計画(ある場合)

全ての公開情報

現在、新たな情報はございません。