NRIセキュアテクノロジーズ株式会社(NRIセキュア)は11月4日、米サイバーセキュリティ・社会基盤安全保障庁(CISA)の「Secure by Design Pledge(Secure by Design宣誓)」にかかわる活動の一環として、脆弱性開示ポリシー(VDP:Vulnerability Disclosure Policy)を制定し公開した。
同社は、同社の製品またはサービスのセキュリティが担保されることで、豊かで安全なサイバー空間に寄与すると考え、この活動を推進するために同社製品・サービスで発見された脆弱性に関し、脆弱性の発見者が同社へ安全に報告するために、脆弱性開示ポリシーを制定したとのこと。
同社に脆弱性を報告する場合は、脆弱性報告フォーム( https://www.nri-secure.co.jp/info/vulnerability )から日本語または英語で、下記の情報を必ず含めて報告するよう案内している。
・脆弱性を発見した日時
・脆弱性を確認したウェブサイトのURLもしくは製品名と製品バージョン
・脆弱性の種類(リモートコード実行、SQLインジェクションなど)
・発見した脆弱性の内容や影響の説明
・脆弱性が存在する場所
・概念実証(Proof of Concept)コード
・脆弱性を再現する手順
・脆弱性調査に用いたツール
・脆弱性発見時のオペレーティングシステム名、およびバージョン
また同ポリシーでは、脆弱性情報及び当該脆弱性を利用して得られた情報を秘密情報として取り扱い、同社への報告終了後であっても、同社が当該脆弱性の修正を完了し公開するまでは、当該脆弱性情報を第三者に開示、漏えい、公表しないよう求めている。
