NRIセキュアテクノロジーズ株式会社(NRIセキュア)は11月4日、米サイバーセキュリティ・社会基盤安全保障庁(CISA)の「Secure by Design Pledge(Secure by Design宣誓)」にかかわる活動の一環として、脆弱性開示ポリシー(VDP:Vulnerability Disclosure Policy)を制定し公開した。
同社は、同社の製品またはサービスのセキュリティが担保されることで、豊かで安全なサイバー空間に寄与すると考え、この活動を推進するために同社製品・サービスで発見された脆弱性に関し、脆弱性の発見者が同社へ安全に報告するために、脆弱性開示ポリシーを制定したとのこと。
同社に脆弱性を報告する場合は、脆弱性報告フォーム( https://www.nri-secure.co.jp/info/vulnerability )から日本語または英語で、下記の情報を必ず含めて報告するよう案内している。
・脆弱性を発見した日時
・脆弱性を確認したウェブサイトのURLもしくは製品名と製品バージョン
・脆弱性の種類(リモートコード実行、SQLインジェクションなど)
・発見した脆弱性の内容や影響の説明
・脆弱性が存在する場所
・概念実証(Proof of Concept)コード
・脆弱性を再現する手順
・脆弱性調査に用いたツール
・脆弱性発見時のオペレーティングシステム名、およびバージョン
また同ポリシーでは、脆弱性情報及び当該脆弱性を利用して得られた情報を秘密情報として取り扱い、同社への報告終了後であっても、同社が当該脆弱性の修正を完了し公開するまでは、当該脆弱性情報を第三者に開示、漏えい、公表しないよう求めている。
同社は、同社の製品またはサービスのセキュリティが担保されることで、豊かで安全なサイバー空間に寄与すると考え、この活動を推進するために同社製品・サービスで発見された脆弱性に関し、脆弱性の発見者が同社へ安全に報告するために、脆弱性開示ポリシーを制定したとのこと。
同社に脆弱性を報告する場合は、脆弱性報告フォーム( https://www.nri-secure.co.jp/info/vulnerability )から日本語または英語で、下記の情報を必ず含めて報告するよう案内している。
・脆弱性を発見した日時
・脆弱性を確認したウェブサイトのURLもしくは製品名と製品バージョン
・脆弱性の種類(リモートコード実行、SQLインジェクションなど)
・発見した脆弱性の内容や影響の説明
・脆弱性が存在する場所
・概念実証(Proof of Concept)コード
・脆弱性を再現する手順
・脆弱性調査に用いたツール
・脆弱性発見時のオペレーティングシステム名、およびバージョン
また同ポリシーでは、脆弱性情報及び当該脆弱性を利用して得られた情報を秘密情報として取り扱い、同社への報告終了後であっても、同社が当該脆弱性の修正を完了し公開するまでは、当該脆弱性情報を第三者に開示、漏えい、公表しないよう求めている。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)