脆弱性情報開示ポリシー

美和ロック株式会社(以下、当社といいます。)では、製品のセキュリティ品質を確保し、お客様に安心して当社製品をご利用いただくために、「ISO/IEC 29147」に基づき、以下のプロセスに従って脆弱性に関する情報を公開いたします。

1.脆弱性情報の収集

当社製品の脆弱性を発見された場合には、「お問い合わせ窓口」へご連絡をお願いいたします。
お問い合わせ窓口では、当社の製品に対するお問い合わせと、インターネット/ネットワーク接続可能な製品に関するセキュリティ上の脆弱性情報を受け付けております。当社以外の製品やその脆弱性情報に関するお問い合わせ(就職活動を意図したご連絡、営業活動等)については対応いたしかねますのでご了承ください。

※当社は、独立行政法人情報処理推進機構(IPA)の定める情報セキュリティ早期警戒パートナーシップガイドラインに基づき対応いたします。
<情報セキュリティ早期警戒パートナーシップガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構>

ご連絡にあたり、以下の情報のご提供をお願いいたします。

  • ・製品名・製品品番・バージョン
  • ・脆弱性の種類や分類、共通脆弱性タイプ一覧(CWE)
  • ・脆弱性を再現した環境またはシステム情報
  • ・脆弱性の再現手順
  • ・概念実装コードまたは攻撃コード
  • ・脆弱性による潜在的な影響
  • ・ご連絡先(お名前・メールアドレス)

受付窓口を通してご連絡いただいた後、受信日を起点として原則7営業日以内(夏季や年末年始等の長期休暇等は除く)に、受領した旨をご報告者様にご連絡いたします。
ご報告者様にご記入いただきました個人情報につきましては、当社で責任をもって管理し、脆弱性報告への対応、およびその記録にのみ使用させていただきます。個人情報の取り扱いの詳細につきましては、当社個人情報保護方針をご確認ください。
また、当社の許可なく回答内容の一部または全体の転用、二次利用することは著作権法上認められておりませんのでご注意ください。
なお、当社では、脆弱性報告に対する報奨金制度は設けておりません。あらかじめご了承ください。

2.脆弱性の調査・対策

脆弱性のご報告を受けた場合、製品設計・開発部門がその影響範囲と深刻度を調査します。調査結果に基づき、対策を検討・実施いたします。
ご報告者様には、脆弱性情報の受領連絡後、対応が完了するまで原則30日ごとに進捗状況をご報告いたします。
また、ご報告者様とのやり取りは、早期警戒パートナーシップに基づいて独立行政法人情報処理推進機構(IPA)及び、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)と適宜情報を共有して行う可能性があります。

<JPCERT コーディネーションセンター>

3.脆弱性情報の公開

脆弱性対策の完了後、関係者様(ご報告者様、お客様、関連ベンダー様、JPCERT/CC等)と公開日程を調整のうえ、当社のお知らせページで脆弱性の概要、影響、対策方法等の情報を公開いたします。また、当社の製品の脆弱性の発見または解決にご協力いただいた方のご要望に応じて、本情報と共に謝辞を掲載いたします。同一の脆弱性について複数の個人・団体からご報告があった場合は、最初にご連絡いただいた方を対象といたします。各関係者様につきましては、お客様の安全を確保するために、報告された脆弱性に対処し、必要な情報を正式に公開するまでは、その脆弱性に関する情報(詳細、有無、対応状況等を含む)を第三者へ開示しないようお願いいたします。

免責事項

当ウェブサイトは、掲載する情報について細心の注意を払っておりますが、その内容の正確性、有用性、確実性、安全性について、保証するものではありません。
当ウェブサイトのご利用、または当ウェブサイトに掲載された情報のご利用に起因して発生した、直接的、間接的損害について、当社は責任を負いかねます。
当ウェブサイトの構成、掲載情報、アドレス等は、予告なく変更、削除、中断、または中止されることがあります。また、当ウェブサイトのサービスの提供に遅延、中断または停止が発生した場合でも、可能な限り迅速な復旧に努めますが、これによって生じた損害について、当社は補償いたしかねます。