本ポリシーの目的
本ポリシーは、お客様、CERT組織(*1)、ベンダー、リサーチャーといったステークホルダーの皆様へYOKOGAWAグループにおける脆弱性ハンドリングの基本方針とプロセスを説明することを目的としています。YOKOGAWAグループは、本ポリシーに沿って弊社製品(*2)の脆弱性に対応してまいります。
YOKOGAWAグループは、お客様資産の安全確保に向けて、サイバー攻撃に対する弱点となる脆弱性のリスク軽減に共に取り組んでいただいているステークホルダーの皆様へ深く感謝の意を表します。
基本方針
YOKOGAWAグループは、サイバー脅威に対する継続的なリスク評価及び対策がお客様の資産管理における重要な課題の1つであることを認識し、お客様資産の安全を確保するための支援に取り組みます。
脆弱性ハンドリングにおいては、弊社製品の脆弱性に関する情報及び対策を提供することで、脆弱性に関するお客様のリスク管理を支援します。
プロセス
脆弱性ハンドリングのプロセスは、以下の4ステップで構成されます。
1. 情報受付
YOKOGAWAグループは、弊社製品の脆弱性情報を広く受け付けています。通常、1~2営業日以内に報告者の方へ脆弱性情報の受付をご連絡します。なお、報告者の方には追加の情報提供を依頼させていただく場合があります。
脆弱性情報は以下からご報告ください。
https://contact.yokogawa.com/cs/gw?c-id=000982
YOKOGAWAグループは、協調的な脆弱性の公開(CVD)(*3)の考えに基づき、脆弱性を発見した場合、まずはYOKOGAWAグループもしくはCERT組織へ報告いただくことをお願いしております。
2. 脆弱性調査
脆弱性の影響を受ける製品を調査します。調査結果については、報告者の方と共有します。また、CVSS(*4)を用いて脆弱性の重大度を評価します。
3. 対策準備
脆弱性の重大度に基づき、以下の対策を検討し、準備します。
・修正策:脆弱性を除去もしくは軽減するためのパッチ、修正版、アップグレードなど
・回避策:脆弱性を利用した攻撃の影響を減らすためのアクションなど
4. 情報提供
脆弱性情報を記載したアドバイザリ(YSAR:Yokogawa Security Advisory Report)をお客様へ提供します。アドバイザリの内容や提供時期などについて、報告者の方やCERT組織と情報提供前に調整します。
・アドバイザリの内容
アドバイザリには、以下の情報が含まれています。
- 脆弱性の説明
- 影響を受ける製品とそのバージョン
- CVE ID
- 重大度(CVSSの評価値)
- 対策内容
- 報告者の情報(報告者の方に記載を合意いただいた場合)
- 問い合わせ窓口
・アドバイザリの提供方法
アドバイザリは、以下の方法で提供します。
- YOKOGAWAグループのWebサイトでの公開
https://www.yokogawa.co.jp/library/resources/white-papers/yokogawa-security-advisory-report-list/
- 各製品の保守サービス契約に基づいた情報提供
・アドバイザリの提供時期
基本的に、修正策の提供準備が整った後に情報提供します。ただし、脆弱性を利用した攻撃が観測されているなど、お客様への早急な情報提供を要する場合は、回避策の提供準備が整った時点で情報提供することを検討します。
5. CVE ID
YOKOGAWAグループは、CVE Numbering Authority(CNA)(*5)として、CVE IDを弊社製品の脆弱性に対して採番します。
(*1) Computer Emergency Response Team。脆弱性情報の受付、公開、注意喚起等を行っている機関。JPCERT/CC、CERT/CC、CISAなどがある。
(*2) https://www.yokogawa.co.jp/solutions/products-platforms/
(*3) Coordinated Vulnerability Disclosure。製品利用者の利益を最優先し、新たな脆弱性を発見した発見者はまずベンダーやCERT組織だけに非公開情報として報告して、脆弱性情報を一般公開する前に、ベンダーに対策を準備させること。
参考:https://blogs.technet.microsoft.com/jpsecurity/2010/07/27/236/
(*4) Common Vulnerability Scoring System。脆弱性の深刻度を0.0~10.0の数値で表したもの。
参考:共通脆弱性評価システムCVSS v3概説 https://www.ipa.go.jp/security/vuln/CVSSv3.html
(*5) CVE
https://www.cve.org/About/Overview
問い合わせ先
脆弱性ハンドリングに関するご質問等は、下記にお問い合わせください。
https://contact.yokogawa.com/cs/gw?c-id=000523
改訂履歴
2018年11月20日 :制定
2023年10月25日 :"5. CVE ID"を追加
ニュース
-
トピックス 2023年10月25日 CVE Numbering Authority(CNA)として脆弱性情報の公開を迅速化
本件に関する詳細などは下記よりお問い合わせください
お問い合わせ