脆弱性開示ポリシー
JIG-SAW株式会社(以下、「当社」といいます)は、日々発見される新たな脆弱性に対応して当社製品のセキュリティを確保し、サイバー攻撃からお客様を守るため、当社製品の脆弱性に関する情報を以下のプロセスで公開いたします。
当社製品における脆弱性情報への対応は、当社PSIRT (Product Security Incident Response Team) にて実施しています。
脆弱性に関する情報の入手
製品の脆弱性に関する情報は、以下ガイドラインをご参照の上、サポートセンターへお知らせください。
当社サポートセンターを通してご連絡いただいた脆弱性に関する情報の受信確認後、受信日から3営業日以内に受信した旨をご報告者様にご返信いたします。なお、年末年始、夏季休業、ゴールデンウィークなどの期間は、ご返信が遅くなる可能性がある旨ご了承ください。
なお、ご連絡いただく際には、以下情報のご提供をお願いいたします。
1)脆弱性が含まれる製品名及び製品のバージョン
2)脆弱性の種類(ユーザ情報の漏洩、不正アクセス等)および影響
3)脆弱性の再現手順、概念実装コードまたは攻撃コード
4)ご連絡者の氏名、電話番号、メールアドレス
提供されたお客様情報や脆弱性情報は、JIG-SAWグループプライバシーポリシーに従って管理いたします。
プライバシーポリシー: https://www.jig-saw.com/policy
また、善意で当社製品の脆弱性の発見または解決に貢献いただいた方に対しましては、謝意を表しさせて頂き、何ら法的責任を問うことはございません。
当社製品固有の問題でないご連絡には対応できない可能性があります。
また、当社製品以外の情報につきましては、当該製品の製造元までご連絡いただけますようお願いいたします。
脆弱性の調査および対策
ご連絡いただいた製品の脆弱性に関する情報は、設計・開発部門にて脆弱性の影響調査を行います。
対策が必要と判断した場合、設計・開発部門と連携し、対策を実施いたします。対策として、修正プログラムまたは回避手順を準備します。
情報の公開
「公表日一致の原則」に沿って、公開準備が整い次第、ご報告者様および関係者様と公開日を調整し、当社ウェブサイトのリリースノートにて公開します。
リリースノート: https://neqto.jig-saw.com/ja/news/releases
公表日一致の原則(「JPCERT/CC 脆弱性関連情報取扱いガイドライン」より抜粋)
一般公表前の脆弱性関連情報をハンドリングする場合、脆弱性への対策方法が整わない時点で、脆弱性関連情報が一般に公表または悪意のある第三者に漏洩すると、悪意のあるコード(攻撃コード)が開発・流通され、脆弱性の影響を受けるシステムに対する攻撃が始まる可能性があります。その結果、製品利用者に被害が及ぶ事態を招く可能性があります。
また、特に複数の製品が影響を受ける脆弱性の場合には、情報の公表に当たって、関係者間で一定の足並みをそろえることが重要です。関係者間で調整した一般公表日時を待たずに、単独で情報を公表することは、他社の製品利用者を危険にさらす可能性があります。
海外機関との国際的な調整案件においては、情報開示の時期を誤った場合(一般公表日前に単独で情報公開を行った場合)、海外機関によって、当該開発者を、今後の脆弱性関連情報のハンドリングから外す措置が取られることがあります。
免責事項
ユーザーは、当社製品(ソフトウェアを含みます)の「セキュリティの脆弱性に関するアップデート版」のリリース通知を受けた場合、当社製品を、当該アップデート版にバージョンアップして頂きます。
セキュリティの脆弱性に関する情報は、リリースノートの「タイトル」に明記し、「重要なトピック」でその内容を示します。
上記バージョンアップを実施しない場合、サイバー攻撃やコンピュータシステムの不具合等のリスクに晒される可能性が高まります。
ユーザーは、自らの責任で上記バージョンアップを実施して頂くものとし、同バージョンアップを行わなかった場合、それによって想定される事故・障害並びに当社製品の利用によるコンピュータ・システムの破損やデータの消失・漏洩、通信障害その他一般的に想定される事故・障害によりユーザーに生じる一切の損害については、ユーザー本人が責任を負い、当社は一切責任を負いません。