グローバル製品セキュリティ
製品の脆弱性に関する報告
Olympus PSIRTは、脆弱性の報告を歓迎します。オリンパス 製品にセキュリティ上の脆弱性を発見したと思われる場合は、以下を確認してください。
報告前の重要な確認事項:
- Olympus PSIRT は、当社製品の未公開の脆弱性に関する情報のみを受け付けます。
- サードパーティ製ソフトウェア/オープンソースソフトウェアの脆弱性は、そのサードパーティに直接報告する必要があります。
- Olympus PSIRT はバグ報奨金プログラムを運用していません。セキュリティ報告者およびその他の団体は、支払いや補償がないことをご了承願います。
- Olympus PSIRT は、以下の報告を受け付けておりません。
- 当社の製品がセキュリティのベストプラクティスに準拠していないことを示すもの
- ソーシャルエンジニアリング攻撃
- サービス拒否の弱点
- TLS 構成の問題: 例として、弱い暗号スイート、TLS 1.0、Sweet32、BEAST などのサポート
- 電子メールアドレスの検証の問題: ユーザー アカウントの作成に使用される電子メールアドレスの検証に関する問題
- Self XSS: 攻撃者自身のブラウザにのみ影響するクロスサイト スクリプティング
- CSRF and CRLF attacks: 影響が最小限のみ限定
- HTTP Host Header XSS: POC(proof-of-concept:概念実証)の動作検証のないもの
- SPF/DMARC/DKIM 構成が不完全または欠落しているもの
- 当社製品と統合するサードパーティのウェブサイトにおけるセキュリティ上の欠陥
- ネットワーク データ列挙手法: バナーの取得や公開されているサーバー診断ページなど
- 脆弱性の報告者は、開示プロセス全体を通じてOlympus PSIRT と連携し、患者の安全とデータのプライバシーを確保するために開示日を共同で決定するようお願いします。
- 脆弱性提出フォームの必須フィールドをすべて入力し、できるだけ多くの情報を提供するようお願いいたします。
- 報告は英語でお願いいたします。
報告後の対応:
- Olympus PSIRT のメンバーが提出内容を確認し、次の手順に従って速やかに回答します。
- 該当する製品チームと協力して、報告された脆弱性情報を確認します。
- 報告された内容が当社製品の新たな脆弱性であると判断された場合、脆弱性の軽減策/恒久策を決定し、実施します。
- 必要と判断された場合、該当する製品セキュリティウェブサイトにセキュリティアドバイザリを掲載します。
注記) 脆弱性に関する情報の提出は、提出者の権利やオリンパスPSIRTの義務の発生にはつながりません。オリンパスPSIRTは、その情報を独自の裁量で利用します。
