サイト内の現在位置

脆弱性公開ポリシー

1.はじめに

 NECグループでは、日々発見される新たな脆弱性に対応するため、独自の脆弱性情報管理システムを運用し、対処に取り組んでいます。20027月に脆弱性情報をCERT/CCとハンドリングする目的で活動を開始し、2004年から情報セキュリティ早期警戒パートナーシップ(*1)にも参画するなど、NECグループ製品に影響のある脆弱性対策を推進しています。

 

 以降の章では、NECグループにおける脆弱性対応の概要、NECグループの製品に関する脆弱性の連絡先、お客様への情報提供、届出の取り組みについて記載いたします。

2.NECグループにおける脆弱性対応の概要

 2-1.PSIRT

 NECグループではPSIRT(Product Security Incident Response Team)を設置し、NECグループの製品に関する脆弱性関連情報をハンドリングしています。NEC-CSIRT(NEC Computer Security Incident Response Team)と共に活動しています。

 2-2.新しい脆弱性情報の収集と共有

  NECグループでは情報セキュリティ早期警戒パートナーシップ(*2)に基づく社外からの共有や、社内発見者からの報告などにより収集した脆弱性関連情報を、脆弱性情報管理システムを活用し、NECグループのPSIRTと製品開発部門で共有しています。

 

  (*2):情報セキュリティ早期警戒パートナーシップガイドラインは脆弱性関連情報の適切な流通を実現するため関係者に推奨する行為をとりまとめたものです。詳しい内容は参考URL(*1)をご参照ください。

 2-3.脆弱性に関する調査と対策準備

 製品開発部門では製品に対する脆弱性の影響調査を行います。影響がある場合は対策の検討を行い、対策として修正手順、修正プログラム、回避手順を準備します。

 2-4.情報公開

 製品の脆弱性対応に関する情報を、当社のNECグループ製品セキュリティ情報ポータルや国内の脆弱性対策情報ポータルサイトであるJVN(*3)にて公開します。情報公開は、公表日一致の原則に従い、調整機関(JPCERT/CC)と取り決めた日に合わせて公開できるように準備していきます。また、JVNRSS形式によるセキュリティ情報の発信も実施しています。

3.製品に関する脆弱性の連絡について

 3-1.連絡先と提供頂きたい情報

 製品の脆弱性を見つけられた場合、以下の宛先までお知らせください。

  

  NECグループPSIRT脆弱性報告窓口:

   psirt-info@cyber.jp.nec.com

 

 なお、ご連絡いただく際には、以下情報のご提供をご協力お願いいたします。

  ・脆弱性が含まれる製品名:

  ・脆弱性が含まれる製品のバージョン:

  ・脆弱性の種類(バッファオーバーフロー、RCE等):

  ・脆弱性の詳細な再現手順:

  ・概念実証コードまたは攻撃コード:

  ・脆弱性がもたらす潜在的な影響:

 3-2.連絡方法

 上記、NECグループPSIRT脆弱性報告窓口にご連絡頂く場合、お客様情報や製品の脆弱性情報といった機微な情報を安全に授受するため、弊社ではPGPによる暗号化でのご連絡をお願いしております。

 PGP公開鍵は、こちらから入手してください。

  

キーID 7EE7CC8E
タイプ RSA
サイズ 4096
作成日 2020-12-16
有効期限 2023-12-18
ユーザーID NEC-PSIRT <psirt-info@cyber.jp.nec.com>
キーフィンガープリント 12A0 3CBA 373A 2A3D F296  C2DC 46C5 8CA1 7EE7 CC8E

 3-3.個人情報保護方針

 提供されたお客様情報や製品脆弱性情報は、NECグループ個人情報保護方針に従って管理いたします。詳細は、こちらをご確認ください。

4.お客様への情報提供

 お客様にNECグループ製品のセキュリティ対策情報をお知らせするポータルをご用意しております。本ポータルに掲載される情報の掲載時期は、JVNの情報掲載と同期させています。

  

 NECグループ製品セキュリティ情報ポータル

  https://jpn.nec.com/security-info/index.html

5.届出の取り組み

 NECグループでは製品の脆弱性に対応するのに加え、製品の研究・開発時に共通の脆弱性を発見した場合には、情報セキュリティ早期警戒パートナーシップへ届出を行い、業界全体のセキュリティ向上に向けた活動にも取り組んでいます。

6.その他

 参考URL

  (*1)情報セキュリティ早期警戒パートナーシップガイドライン
  https://www.ipa.go.jp/security/ciadr/partnership_guide.html

   

  経済産業省 ソフトウェア製品等の脆弱性関連情報に関する取扱規程
 http://www.meti.go.jp/policy/netsecurity/vul_notification.pdf


  JPCERT/CC脆弱性関連情報取扱いガイドライン
  https://www.jpcert.or.jp/vh/top.html

 

  脆弱性対策:製品開発者の発信する脆弱性対策情報の自動収集について
  https://www.ipa.go.jp/security/vuln/jvnrss.html

 

  (*3)Japan Vulnerability Notes
  https://jvn.jp/index.html

免責事項
 当社は、コンテンツ、その他の本ウェブサイトで提供される情報等(以下、総称して「コンテンツ等」といいます。)の内容に関し、その正確性、有用性、確実性、その他いかなる保証もするものではありません。コンテンツ等のご利用により万一何らかの損害が発生したとしても、当社は一切責任を負いません。

 

 当社は、本ウェブサイトの運営を予告なしに中断または中止することがあります。また、当社は、本ウェブサイト上に記載されている事項を予告なしに変更または中止することがありますので、あらかじめご承知ください。

更新情報

2021/01/08
脆弱性公開ポリシーを新規公開しました。