(A) 概要
デルタは、潜在的な脆弱性への迅速な対応を確実にするため、堅牢な製品サイバーセキュリティ問題対応プロセスを提供することに尽力しています。 弊社は、製品のリスクを最小限に抑えるため、信頼できるガイダンスとソリューション(または緩和措置)を提供するよう継続的に努めています。 そのため、製品サイバーセキュリティ問題およびデルタ製品の潜在的な脆弱性への対応を担当する製品サイバーセキュリティ問題対応チームを設立しました。
デルタ・サイバーセキュリティ問題対応チーム (デルタ PSIRT) は、国際的に広く受け入れられ認識されている規制と標準を参照し、潜在的なサイバーセキュリティ問題に対処するために最適なプロセスと対策の確実な実施を管理します。このポリシーを通じて、弊社の従業員がサイバーセキュリティ問題に明確かつ一貫して対処できるようになり、この種の案件への対応方法を理解できるようになります。
(B) 適用範囲
製品サイバーセキュリティ脆弱性管理ポリシーは、すべてのデルタ製品および提出されたすべてのサイバーセキュリティ案件レポートに適用されます。 規格外品や特注品の場合は、別の取り決め(契約書)に従った取り扱いが必要となります。
(C) サイバーセキュリティ脆弱性の報告方法
弊社製品の潜在的なサイバーセキュリティ脆弱性を特定した場合は、脆弱性レポートサイトから製品サイバーセキュリティ脆弱性レポートを提出してください。 提出されたレポートは検討され、関連担当者が(必要に応じて)あなたに連絡します。 提出された脆弱性情報が不完全、不正確、重複、または偽りの報告である場合、デルタPSIRTはそれ以上の検討を進めません。
潜在的な脆弱性を報告する場合は、報告された問題の性質と範囲をより深く理解できるよう、以下の情報をできるだけ多く含めていただくようお願いします。
● 製品タイプ
● 製品名
● ソフトウェア/ファームウェアのバージョン
● 脆弱性の説明
● 再現手順
● Common Weakness Enumeration (CWE) ID
● 一般的な脆弱性と暴露 (CVE) ID
● CVSSスコア
● CVSS ベクトル文字列
(D) 製品サイバーセキュリティ脆弱性管理プロセス
デルタ製品サイバーセキュリティ脆弱性管理プロセスには、以下に示す 5 つの段階が含まれます。
● レポートの受領確認:デルタ製品に関する外部の脆弱性レポートの受信。通常、レポート受信後2 営業日以内に返答します。
● 選別と分析: 潜在的なサイバーセキュリティの脆弱性を選別して分析し、デルタ製品への影響の初期評価を行います。
● 調査: 製品開発チームと緊密に連携して脆弱性の根本原因を特定し、デルタ製品への影響をさらに評価します。
● 緩和策: 製品開発チームと緊密に連携して、ソフトウェア/ファームウェアのパッチまたは緩和策を開発します。
● 開示: 製品サイバーセキュリティの脆弱性の結果をWebサイトの製品サイバーセキュリティ アドバイザリーセクションに公開します。
(E) 脆弱性の重大度と影響の評価
デルタPSIRTと製品開発チームは、CVSS(共通脆弱性評価システム)を活用して、脆弱性問題の潜在的なリスクを評価します。
CVSS は、重大度の定性的な尺度を提供するために使用される数値手法であり、脆弱性を悪用するために必要な労力のレベルや、脆弱性が悪用された場合の潜在的な影響など、いくつかの要素を考慮します。
脆弱性の問題を分析した後、以下に示すレベルに従って、数値スコア、ベクトル文字列、および定性的重大度評価 (重大、高、中、低のいずれか) を使用して、評価された脆弱性の影響を整理します。
| レベル |
CVSS 3.X評価 |
| 重大 |
9.0 – 10 |
| 高 |
7.0 – 8.9 |
| 中 |
4.0 – 6.9 |
| 低 |
0 – 3.9 |
(F) 免責事項
この製品サイバーセキュリティ管理ポリシーのあらゆる内容は、予告なく変更される場合があります。 弊社は、特定の問題または問題のカテゴリに対応することを保証しません。この文書に含まれる情報、またはここにリンクされている資料の使用は、お客様ご自身の責任でご使用ください。