脆弱性情報開示ポリシー

当社製品の脆弱性を発見された場合には、「お問い合わせ窓口」へご連絡をお願いいたします。
お問い合わせ窓口では、当社の製品に対するお問い合わせと、インターネット/ネットワーク接続可能な製品に関するセキュリティ上の脆弱性情報を受け付けております。当社以外の製品やその脆弱性情報に関するお問い合わせ（就職活動を意図したご連絡、営業活動等）については対応いたしかねますのでご了承ください。

※当社は、独立行政法人情報処理推進機構（IPA）の定める情報セキュリティ早期警戒パートナーシップガイドラインに基づき対応いたします。
<情報セキュリティ早期警戒パートナーシップガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構>

ご連絡にあたり、以下の情報のご提供をお願いいたします。

• ・製品名・製品品番・バージョン
• ・脆弱性の種類や分類、共通脆弱性タイプ一覧（CWE）
• ・脆弱性を再現した環境またはシステム情報
• ・脆弱性の再現手順
• ・概念実装コードまたは攻撃コード
• ・脆弱性による潜在的な影響
• ・ご連絡先（お名前・メールアドレス）

受付窓口を通してご連絡いただいた後、受信日を起点として原則7営業日以内（夏季や年末年始等の長期休暇等は除く）に、受領した旨をご報告者様にご連絡いたします。
ご報告者様にご記入いただきました個人情報につきましては、当社で責任をもって管理し、脆弱性報告への対応、およびその記録にのみ使用させていただきます。個人情報の取り扱いの詳細につきましては、当社個人情報保護方針をご確認ください。
また、当社の許可なく回答内容の一部または全体の転用、二次利用することは著作権法上認められておりませんのでご注意ください。
なお、当社では、脆弱性報告に対する報奨金制度は設けておりません。あらかじめご了承ください。

脆弱性のご報告を受けた場合、製品設計・開発部門がその影響範囲と深刻度を調査します。調査結果に基づき、対策を検討・実施いたします。
ご報告者様には、脆弱性情報の受領連絡後、対応が完了するまで原則30日ごとに進捗状況をご報告いたします。
また、ご報告者様とのやり取りは、早期警戒パートナーシップに基づいて独立行政法人情報処理推進機構（IPA）及び、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）と適宜情報を共有して行う可能性があります。

<JPCERT コーディネーションセンター>