漏洞的应对方针

DENSO WAVE公司积极开展活动，获取产品网络安全方面的漏洞信息并采取必要的措施，以期让客户放心地使用本公司的产品和服务。

关于漏洞的处理情况，将遵循“ISO/IEC 29147”和《信息安全早期预警伙伴关系指南》，披露相关信息。

• 1. 漏洞应对体制

  
  
  
  ※ CISO … Chief Information Security Officer
  ※ CSIRT … Computer Security Incident Response Team
  ※ PSIRT … Product Security Incident Response Team

• 2. 漏洞的应对步骤

  • (1)　获取漏洞信息
    DENSO WAVE公司从外部搜集漏洞信息。
    如果客户发现了本公司产品的漏洞信息，烦请利用漏洞信息提供表单将下列信息通知本公司：
  • ・发现漏洞的产品和版本；
  • ・漏洞的内容；
  • ・漏洞的验证方法；
  • ・预估的损害及其影响范围。
  • 对于客户所提供信息中含有的个人信息，我们将依照本公司隐私保护原则进行管理。
  • 收到信息后，我们会在自收件之日起5个工作日内告知客户信息收悉事宜。
  • (2)　产品开发部门调查漏洞信息
    产品开发部门负责对所获取的漏洞信息开展调查。
    此外，根据需要可能会请求客户提供使用状况等补充信息，敬请协助。
  • (3)　对是否需要应对做出判断
    经过调查，如果判断存在安全方面的影响，则采取措施并做好披露的准备工作。
    我们会针对情况研究措施，包括软件升级或可以替代升级的有效的缓解方法等。
  • (4)　披露
    我们将发布安全公告，描述该漏洞的内容和被滥用的可能性，以及可能受影响的产品或产品版本及应对措施。
    此外，还将依照发布日期一致的原则，由信息提供者、JPCERT/CC等协调机构以及公司内外相关机构共同协调发布日期。

• 3. 漏洞信息一览