シマンテック脆弱性レスポンスガイドライン

はじめに

シマンテックは、シマンテック製品のセキュリティ脆弱性を迅速かつ適切に解消すべく全力で取り組んでいます。 お客様への危険を最小限にとどめ、情報を適時に提供して、シマンテックソフトウェアのセキュリティ脅威に対処するための脆弱性修正プログラムや緩和策を配信するために必要な体制を整備しています。

シマンテックは Organization for Internet Safety(OIS)の創設メンバーとして、OIS が作成し ISO 29417 に記述された責任ある情報開示のガイドラインに従い、シマンテック製品の脆弱性を社外に報告しています。このガイドラインでは、発見者とベンダーの間にオープンなコミュニケーションを築き、両者の責任範囲を明確にして、個人、企業、インターネットインフラを攻撃からできる限り守ることが奨励されています。 シマンテックは、脆弱性を報告してくださる研究者の皆様と密接に協力し、責任ある情報開示に協力いただいた発見者の皆様の功績を評価しています。

セキュリティ脆弱性の報告方法

シマンテックの製品、クラウドサービス、または IT インフラに未解決の脆弱性を発見したと思われる場合は、下記の電子メールアドレスからシマンテックにご連絡ください。

  • オンプレミス製品の脆弱性の報告: シマンテック製品セキュリティインシデントレスポンスチーム(PSIRT)、secure@symantec.com
  • クラウドサービスまたは IT インフラの脆弱性の報告: シマンテック GSO セキュリティオペレーションセンター(SOC)、security@symantec.com

迅速な確認作業ができるようにするため、シマンテックへの初回連絡時に以下の情報をお伝えください。

  • 製品名とバージョン番号、またはサービス名
  • 脆弱性の観測日
  • 脆弱性の説明
  • 脆弱性の再現手順(文章による説明、再現動画、または再現方法を示す一連のスクリーンショット)
  • 発見者様のお名前と所属組織(組織に所属されている場合)
  • 発見者様のご連絡先(電子メールアドレス、電話番号、匿名希望の有無)
  • 発見者様の PGP または GPG 公開鍵(暗号化通信を使用する場合)

シマンテック PSIRT は、報告の受領確認のご連絡を 3 営業日以内にお送りします。 その後、社内チームと検証を行い、対応状況のご報告や追加情報のお願いを適時にご連絡いたします。

PGP 鍵の詳細

機密を守るため、脆弱性報告の際にはできるだけ暗号化通信チャネルをお使いただくようお願いいたします。 シマンテックの PGP 公開鍵は次のリンクからダウンロードできます。

PSIRT との暗号化通信用の PGP 鍵

注: シマンテックとの暗号化電子メールのやり取りには、PGP と GPG のどちらもお使いいただけます。

問題の修正策と緩和策

ご報告いただいた脆弱性が実証された場合、シマンテックは脆弱性のタイプ、重大度、影響を受ける製品またはサービス数に応じて、問題の修正策または緩和策を提供するように対応を進めます。 発見者様には、問題への対応が十分に行われるまでシマンテック PSIRT が進捗状況を随時お知らせいたします。

追加情報と責任ある情報開示

脆弱性の確認作業において、他社製品の脆弱性が見つかる場合があります。 その際にシマンテックは、該当するベンダーが脆弱性の解消に向けた行動をとることに向けて、責任ある情報開示のガイドラインに従った行動をとります。 シマンテックは、セキュリティ調査コミュニティにおいて協力的で信頼できるメンバーでありたいと考えています。 発見者の皆様のご尽力には大変感謝しております。そのご厚意にお応えすべく、シマンテックは今後も広範なセキュリティ調査コミュニティのメンバーとのオープンなコミュニケーションを促進し、さまざまな技術分野で活躍する皆様が専門的な協力作業を進められる環境の構築を目指します。

まとめ

シマンテックは、セキュリティ業界のリーダーとして、自社のソフトウェアにセキュリティ脆弱性が見つかった場合の対応と解決に真摯に取り組んでいます。 今後も、発見者の皆様と協力してセキュリティの問題を確認、検証し、緩和策を見出す取り組みを続けるとともに、責任ある情報開示のガイドラインに従ってお客様に安心をお届けしてまいります。