AZAPA株式会社(以下「当社」)は、お客様に安全な製品およびサービスを提供するため、サイバーセキュリティの向上を最重要課題の一つと位置づけています。
本ポリシーは、当社のIoT製品(NexusCore-TBOX等)においてセキュリティ上の脆弱性を発見されたセキュリティ研究者様、およびユーザーの皆様からのご報告を受け付け、問題が解決するまでの対応プロセスを明示するものです。
当社製品に関するセキュリティ上の問題や脆弱性を発見された場合は、以下の窓口までご報告をお願いいたします。
※ご報告の際は、発見した脆弱性の詳細(対象製品名、バージョン、再現手順、影響範囲など)を可能な限り具体的にご記載ください。
ご報告いただいた脆弱性情報に対して、当社は以下のタイムラインと手順で対応し、報告者様と連携を図ります。
| 1. 最初の受領確認 | ご報告を受領した後、当社PST担当者より2営業日以内に受領確認(Acknowledgement)の連絡を行います。 |
|---|---|
| 2. トリアージと評価 | 報告内容の事実確認および製品への影響範囲(CVSSスコア等に基づく優先度)の評価を行い、その結果を報告者様へ通知します。 |
| 3. 状況の更新と対応 | 修正パッチの開発や回避策の策定を進めます。問題が解決されるまでの間、2週間以内、あるいは重要な進捗があったタイミングで、報告者様へ対応状況の更新(Status Update)をご連絡いたします。 |
| 4. 解決と公開 | 修正パッチの準備が完了次第、当社サポートサイトにてユーザー向けにセキュリティアップデート情報を公開し、対応を完了とします。 |
検証済みのセキュリティアップデートや緩和策が準備できた段階で、当社サポートサイトおよび登録ユーザー様へのメール通知等を通じ、脆弱性の概要と必要な対応手順(ソフトウェアアップデートのお願い等)を速やかに公表いたします。
当社は、システムの安全な運用とユーザー保護を目的とした、善意に基づくセキュリティ研究を歓迎します。本ポリシーに従って行われた脆弱性の調査および報告に対し、当社はこれを正当な行為と見なし、報告者に対する法的措置(著作権法、不正アクセス禁止法等に基づく訴訟等)を講じることはありません。
※ただし、データの破壊、サービス妨害(DoS攻撃)、他ユーザーの個人情報への不正アクセスを伴う破壊的な検証行為はご遠慮ください。