脆弱性対応方針

デンソーウェーブでは、弊社製品・サービスをお客様が安心してお使いいただけるよう、製品のサイバーセキュリティ上の脆弱性情報を入手し、必要な処置を実施する活動に取り組んでいます。

脆弱性への処置については、「ISO/IEC 29147」および「情報セキュリティ早期警戒パートナーシップガイドライン」に基づき、関連情報を公開いたします。

• 1. 脆弱性対応の体制

  
  
  
  ※ CISO … Chief Information Security Officer
  ※ CSIRT … Computer Security Incident Response Team
  ※ PSIRT … Product Security Incident Response Team

• 2. 脆弱性対応手順

  • (1)　脆弱性情報を入手
    デンソーウェーブでは社外から脆弱性情報を収集しています。
    お客様が弊社製品の脆弱性情報を発見された場合、以下の情報を脆弱性情報提供フォームよりご連絡くださいますようお願いいたします。
  • ・脆弱性が発見された製品およびバージョン
  • ・脆弱性の内容
  • ・脆弱性の検証方法
  • ・想定される被害やその影響範囲
  • ご提供いただいた情報に含まれる個人情報につきましては弊社プライバシーポリシーに従い管理いたします。
  • 情報を受信後、受信日を起点として5営業日以内に、受領した旨をご連絡いたします。
  • (2)　脆弱性情報を製品開発部署で調査
    入手した脆弱性情報を製品開発部門にて調査します。
    また、必要に応じてご使用状況等の追加情報提供をお願いする場合がありますので、ご協力お願いいたします。
  • (3)　対応要否を判断
    調査の結果セキュリティ上影響ありと判断した場合、対策の実施と公開の準備を行います。
    対策にはソフトウェアアップデートやアップデートに代わる効果的な緩和手段など、状況に応じて検討いたします。
  • (4)　公開
    当該脆弱性の内容および悪用される可能性、また影響が懸念される製品または製品のバージョンおよび対策を記載した
    セキュリティアドバイザリを公開します。
    なお、公表日一致の原則に従い、情報提供者様、JPCERT/CC等の調整機関、社内外関係組織にて公表日の調整を行います。

• 3. 脆弱性情報一覧