グローバル製品セキュリティ
製品の脆弱性、悪用、侵害に関する報告
Olympus PSIRTは、セキュリティ研究者、顧客、その他の情報源からの脆弱性の報告を歓迎します。オリンパス 製品にセキュリティ上の脆弱性を発見したと思われる場合は、以下を確認してください。
報告前の重要な確認事項:
- Olympus PSIRT は、当社製品の未公開の脆弱性に関する情報のみを受け入れます。
- サードパーティ製ソフトウェア/オープンソースソフトウェアの脆弱性は、そのサードパーティに直接報告する必要があります。
- Olympus PSIRT はバグ報奨金プログラムを運用していません。セキュリティ報告者およびその他の団体は、支払いや補償がないことをご了承願います。
- Olympus PSIRT は、以下の製品の脆弱性報告を受け付けておりません。
- 当社の製品がセキュリティのベストプラクティスに準拠していないことを示す。
- ソーシャルエンジニアリング攻撃
- サービス拒否の弱点
- TLS 構成の問題: 例として、弱い暗号スイート、TLS 1.0、Sweet32、BEAST などのサポートが挙げられます。
- 電子メール アドレスの検証の問題: ユーザー アカウントの作成に使用される電子メール アドレスの検証に関する問題。
- Self XSS: 攻撃者自身のブラウザにのみ影響するクロスサイト スクリプティング (XSS)。
- CSRF and CRLF attacks: 影響が最小限の場合に限ります。
- HTTP Host Header XSS: POC(proof-of-concept:概念実証)の動作検証なし。
- SPF/DMARC/DKIM 構成が不完全または欠落している。
- 当社製品と統合するサードパーティの Web サイトにおけるセキュリティ上の欠陥。
- ネットワーク データ列挙手法: バナーの取得や公開されているサーバー診断ページなど。
- 脆弱性の報告者は、開示プロセス全体を通じてOlympus PSIRT と連携し、患者の安全とデータのプライバシーを確保するために開示日を共同で決定するようお願いします。
- Olympus PSIRT は、脆弱性提出フォームの必須フィールドをすべて入力し、できるだけ多くの情報を提供するようお願いしています。
- 報告は英語でお願いいたします。
報告後の対応:
- Olympus PSIRT のメンバーが提出内容を確認し、次の手順に従って速やかに回答します。
- Olympus PSIRT は、該当する製品チームと協力して、報告された脆弱性情報を確認します。
- 報告された内容が当社製品の新たな脆弱性であると判断された場合、Olympus PSIRT は脆弱性の軽減策/恒久策を決定し、実施します。
- Olympus PSIRT は、必要と判断された場合、該当する製品セキュリティ Web サイトにセキュリティ アドバイザリを掲載します。
注記) 脆弱性に関する情報の提出は、提出者の権利やオリンパスPSIRTの義務の発生にはつながりません。オリンパスPSIRTは、その情報を独自の裁量で利用します。
