商品脆弱性ハンドリング・開示ポリシー
1. 本ポリシーの目的
アズビル株式会社(以下、「当社」といいます)は、お客様の資産に対するサイバー脅威からのリスクを低減し、お客様の資産の安全性を確保していくため、当社商品(製品、クラウドサービス)における脆弱性を適切かつ速やかに解決することを目的として、本ポリシーを定めます。
2. 脆弱性ハンドリングプロセス
当社の脆弱性ハンドリングプロセスは、以下4つのプロセスで構成されます。
2.1 脆弱性の報告受付
当社は、当社商品の脆弱性に関する情報を受け付けております。
報告いただいた情報については、関係事業部門や調整機関(JPCERT/CC、海外CERT等)と連携し、すみやかに対応策を検討します。
初期対応
脆弱性に関する情報の受領を確認後、5営業日以内に、担当者より受領した旨をご連絡いたします。年末年始休暇、ゴールデンウィーク、夏季休暇等の期間中はご連絡が遅れますこと、あらかじめご了承ください。
報告先
脆弱性情報は以下のアズビル商品脆弱性報告受付窓口よりご報告ください。
アズビル商品脆弱性報告受付窓口 | アズビル株式会社(旧:株式会社 山武)
<ご報告いただく際の注意>
この窓口は脆弱性報告専用になります。
当社以外の商品につきましては、各製造元までご連絡ください。
2.2 脆弱性の分析・評価
当社は、報告いただいた脆弱性について、以下の確認項目をもとに「新規の脆弱性」であるかを判断いたします。
- 当社商品のセキュリティに影響を与える可能性があるか(機密性、完全性、可用性に悪影響を与える可能性がある)
- 再現性が確認できるか(実際に当社商品上での発生を再現できるか)
- 未公開の情報であるか(すでに公的機関・他社・外部データベースで公開されていないか)
新規の脆弱性であると判断した場合、CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)値などを用いて重大度を評価し、対策の優先度を決定します。
2.3 脆弱性への対策
脆弱性の重大度に基づき、パッチ、アップグレードなどの根本的対策を行います。
また、内容に応じて、回避策や暫定的な緩和策(当該脆弱性の影響度を減らす具体的な方法)のご案内を行う場合があります。
2.4 脆弱性情報の提供
脆弱性情報を記載したアドバイザリ(AGADV:Azbil Group ADVisory)をお客様へ提供します。
公開時期や公開内容につきましては、協調的な脆弱性公開(CVD:Coordinated Vulnerability Disclosure)の原則に基づき、報告者の方ならびに関係機関と協議の上決定し、商品利用者の皆様に適切なタイミングで情報を提供いたします。
公表日を迎えた脆弱性情報は商品購買情報を基に営業窓口等を通した個別の通知や、azbilグループのウェブサイト(以下リンク参照)や外部機関を通して、商品利用者の皆様に情報を公開します。
商品の脆弱性に関する情報
3. その他の事項
当社は、本ポリシーに基づく取り組みを継続的に見直し、脆弱性のより適切な管理と迅速な対応に努めてまいります。
本ポリシーは、予告なく改訂されることがあります。改訂の際には改訂内容を当社ウェブサイト等でお知らせいたします。
改訂履歴
2025年3月31日:制定