Vulnerability Disclosure Policy

Vulnerability Disclosure Policy

脆弱性開示ポリシー


はじめに

アナログ・デバイセズ(以下ADI)は、当社製品で発見される可能性があるセキュリティの脆弱性に関連するリスクの緩和に努めています。当社は、報告された脆弱性や発見された脆弱性を分析し、その情報、分析、および適切な影響軽減策のためのガイダンスを適時に顧客へ提供することで、この目的を達成しようとしています。

報告された脆弱性を調査して評価を行った後に改善策が必要と判断された場合、ADIは適切な改善策の作成に努めます。通常、この改善策は以下の形態を取ります。

  • 新しい製品のリリース、パッチ、またはアップデート。
  • セキュリティに関する問題に対処するための修正手順、または問題を解決するための修正手順。もしくは、
  • 報告された問題からの保護手段として、影響を受ける製品に対して顧客が使用できる追加ガイダンス。

ADIは、顧客とパートナーを保護するために、できるだけ短時間で改善策または是正措置を提供できるよう、あらゆる努力を払います。ADIは、通常のサポート・チャンネルとwww.analog.com/securityを通じて、セキュリティ情報とアップデートを顧客に提供します。


ガイドライン

脆弱性の発見者には以下のことをお願いしています。

  • セキュリティ・テスト中のプライバシーの侵害、ユーザ体験の悪化、生産システムの混乱、およびデータの破損を回避するためにあらゆる努力を払うこと。
  • 調査は以下に定める範囲内だけで行うこと。
  • 脆弱性情報の報告には、確認された通信チャンネルだけを使用すること。
  • 発見した脆弱性に関する情報は、発見者とアナログ・デバイセズの両者によって開示が承認されるまで、両者間だけの秘密情報とすること。
  • このプロセスを通じて両者で作業を進める際には、できるだけ連絡を密にして協力することに努めること。

報告者がADIへの問題報告時にこのガイドラインに従う場合、ADIは以下のことを遵守します。

  • 脆弱性に関する報告者の調査に関連して訴訟を起こさないこと(ただし悪意ある行為の場合を除きます)。
  • 脆弱性に関係する問題を速やかに理解し解決するために、発見者と協力すること(発見者からの報告の初回確認を提出から2営業日以内に行うことを含みます)。
  • 報告者がその問題の第一報告者である場合は報告者の寄与を認め、必要に応じ報告された問題に基づいて製品の修正または設定変更を行うこと。

範囲

  • ADIの製品とソフトウェア
  • サービスとインフラストラクチャ
  • 製品関連技術文書

注:製品のタイプごとに要求される特定情報を下に示します。


範囲に含まれないもの

ADIのユーザ、スタッフ、インターネット全般、およびセキュリティ研究者としての報告者の安全のために、以下のテスト・タイプは範囲から除外します。

  • オフィスへのアクセスなど、施設の物理的テストによる発見(例えば開いたドアや共連れ)
  • 主としてソーシャル・エンジニアリングから得られた発見(例えばフィッシングやビッシング)
  • 「範囲」のセクションに挙げられていないアプリケーションやシステムからの発見
  • セキュリティに影響しないUIやUXのバグ
  • つづりの誤り
  • ネットワーク・レベルでのサービス妨害(DoS/DDoS)攻撃への脆弱性
  • ADIの評価用ボードに使われている非ADI部品に特有の発見

アナログ・デバイセズは、脆弱性報告に以下の情報を含めることを禁止します。

  • 個人を特定できる情報(PII)
  • クレジット・カード所有者データ
  • 機密データ
  • バイナリ – 可能であればソースコードの提供をお願いします。

報告

ADIの製品またはプラットフォームにセキュリティ上の脆弱性を発見したと判断される場合は、電子メールでsecurityalert@analog.comへ発見報告を送ってください。報告には以下の詳細を記載してください。

  • 報告者の氏名/ハンドル名および確認のためのリンク(ハンドル名を選択した場合)
  • 報告者のPGP公開鍵(ADIが報告者との連絡を保てるようにするため)
  • 製品に関係する詳細(下の報告テンプレートに定めるもの)

セキュリティに関する脆弱性の詳細が時期尚早に公開されてしまうことがないよう、ADIは報告者に対し、ADIのPGP公開鍵を使って電子メールを暗号化することを求めています。

PGP公開鍵のフィンガープリント:819E 026D 27B6 AAC2 2B05 C688 F49C BAEE DB0C FBEA
ADIの公開鍵はhttps://keys.openpgp.orgに保存されています


開示

該当する場合、ADIは開示に先立って以下のことをします。

  • 発見報告の対応優先順位を決定して評価を実施
  • 軽減策(該当する場合)と開示(該当する場合)の予定を報告者に通知(公開猶予期間の延長を求めることがあります)
  • 複数関係者間での協調的脆弱性開示の場合は他の当事者への通知
  • 追跡のための共通脆弱性情報リスト(Common Vulnerability Enumeration: CVE)の識別子取得
  • 報告者に改善方針を通知
  • 必要に応じwww.analog.com/securityで開示を公表

顧客の権利:保証、サポート、およびメンテナンス

該当するADI製品またはサービスの保証、サポート、およびメンテナンスに関するADI顧客の権利は、ADIの標準販売条件およびADIと各顧客との間で交わされるその他の合意に準拠し、すべての面でこれらに従うものとします。

この文書に示す内容は、明示的か暗黙的かの別を問わず、顧客の何らかの権利を修正または拡大するものではなく、追加的な保証を追加するものでもありません。ADI製品の脆弱性に関してADIに提供された情報は、製品の脆弱性報告に記載されたすべての情報を含め、すべてADIの専有財産になるものとし、ADIは、これらの情報提供者への対価の考慮や支払いに関して何らの義務を負うことなく、これらすべての情報を使用できるものとします。

報告用テンプレート

ソフトウェアベースの脆弱性

X+
  1. 製品名 - ソリューションに使われている一般的な名称
  2. 製品のバージョン番号
  3. ホストのオペレーティング・システム - 関係する場合
  4. ホストOSのバージョン番号
  5. 予想される機能
  6. 脆弱性利用後の機能
  7. 脆弱性の再現手順
  8. ソースコードの例 - ある場合
  9. 発見者の連絡先情報 - 最も連絡しやすい方法
  10. 他の関係者 - 該当する場合、脆弱性開示の調整に使用
  11. 開示計画 - 発見者が開示を計画している時期
  12. 脅威/リスク/影響の評価 - 発見者は脅威/リスク/影響をどのように見なしているか(高、中、低)
  13. 構成 - システムとハードウェアの構成

ハードウェアベースの脆弱性

X+
  1. パッケージに表示されているハードウェアの型番
  2. ハードウェアのリビジョン番号
  3. 予想される機能
  4. 脆弱性利用後の機能
  5. 脆弱性の再現手順
  6. ソースコードの例 - コードがある場合
  7. 発見者の連絡先情報 - 最も連絡しやすい方法
  8. 他の関係者 - 該当する場合、脆弱性開示の調整に使用
  9. 開示計画 - 発見者が開示を計画している時期
  10. 脅威/リスク/影響の評価 - 発見者は脅威/リスク/影響をどのように見なしているか(高、中、低)
  11. 構成 - ハードウェア構成(接続、ソフトウェア、デバッグ接続など)

クラウドベースの脆弱性

X+
  1. 発見の日付と時刻 - 分かっている場合
  2. サービスのURL(Uniform Resource Locator)
  3. ブラウザの設定 - 使用していた場合
  4. 脆弱性を再現するために必要な入力
  5. 脆弱性の再現手順
  6. 脆弱性利用ソースコードの例 - コードがある場合
  7. 発見者の連絡先情報 - 最も連絡しやすい方法
  8. 他の関係者 – 該当する場合、脆弱性開示の調整に使用
  9. 開示計画 - 発見者が開示を計画している時期
  10. 脅威/リスク/影響の評価 - 発見者は脅威/リスク/影響をどのように見なしているか(高、中、低)
  11. システム構成 - 脆弱性に関係する場合