Vulnerability Disclosure Policy (VDP)
1. ポリシーの目的(Purpose)
SEETELは、自社の製品およびサービスにおける情報セキュリティの確保に継続的に取り組んでおり、外部のセキュリティ研究者、パートナー、ならびにユーザーの皆様から寄せられるセキュリティに関するご指摘・ご意見を重視しています。
当社は、透明性が高く、有効かつ責任ある脆弱性の報告および対応体制を構築するため、本「製品セキュリティ脆弱性公開ポリシー(Vulnerability Disclosure Policy:VDP)」を策定・公開し、外部からのセキュリティ脆弱性に関する正式な通報窓口および対応指針とします。
2. 適用範囲(Scope)
本ポリシーは、SEETELに関連するすべての製品、システム、プラットフォームおよびサービスに適用されます。
対象には、以下を含みますが、これらに限定されるものではありません。
• ハードウェア機器
• ファームウェア(Firmware)
• ソフトウェアおよびクラウドサービス
• 公式ウェブサイトおよび関連システム
3. 脆弱性の報告窓口(Reporting Channels)
SEETELの製品またはサービスに影響を及ぼす可能性のある情報セキュリティ上の脆弱性を発見された場合は、以下の公式窓口までご報告ください。
• Email:service@seetel-energy.com
円滑かつ迅速な評価・対応のため、可能な範囲で以下の情報を含めてご連絡いただくことを推奨します。
• 脆弱性の内容および影響範囲
• 再現手順または検証方法
• 関連するスクリーンショット、ログ、技術的詳細
• ご連絡先情報(任意ですが、後続の確認・連絡に有用です)
4. 脆弱性対応プロセスおよび対応期間(Handling Process & Timeline)
SEETELは、すべての有効な脆弱性報告に対し、責任をもって慎重に対応し、以下のプロセスに基づき対応を行います。
1. 報告受領の確認
• 脆弱性の報告を受領後、48時間以内に受領確認を行います。
2. 初期評価
• 受領後、7営業日以内に脆弱性に関する初期的な技術評価およびリスク判定を実施します。
3. 修正および改善対応
• 重大または高リスクと判断された脆弱性については、速やかに社内の修正プロセスを開始し、必要なリソースを手配のうえ対応します。
4. 対応結果の通知
• 修正対応が完了した後、連絡先情報をご提供いただいている場合には、脆弱性報告者へ結果をご連絡します。
5. 修正状況および情報開示の方法(Update & Disclosure)
情報の透明性を確保するため、SEETELは、脆弱性の内容および対応状況に応じて、以下のいずれか、または複数の方法により、ユーザーおよび一般の皆様に対して修正状況に関する情報を提供します。
• セキュリティアドバイザリ(Security Advisory)の公開
• ファームウェアまたはソフトウェアの更新内容に関する案内
• 公式ウェブサイトまたは製品サポートページでの情報掲載
なお、具体的な公開方法および公開時期については、脆弱性の性質やリスク評価の結果を踏まえ、当社にて判断します。
6. 責任ある情報開示の原則(Responsible Disclosure)
SEETELは、責任ある形での脆弱性開示を推奨しており、脆弱性をご報告いただく方に対し、以下の点へのご配慮をお願いしています。
• 脆弱性が修正されるまでの間、当該脆弱性に関する技術的詳細を公に開示しないこと
• システムの安定性やユーザーの権利・利益に影響を及ぼす可能性のある検証行為を行わないこと
• 関連する法令および倫理規範を遵守すること
当社は、本ポリシーに基づき善意かつ合法的に実施されるセキュリティ研究活動について、誠意をもって対応します。
7. ポリシーの公開およびお問い合わせ(Availability)
本脆弱性開示ポリシーは、SEETELの公式ウェブサイトおよび製品サポート関連ページに公開されており、すべての研究者およびユーザーの皆様にご参照いただけます。
お問い合わせ