ポリシー | Asuka Solution

脆弱性開示ポリシー & セキュリティアップデート優先度方針

1. はじめに

Asuka Company Limited（以下「当社」）は、IoT製品（通信モジュール、スマートメーターシステム等）のセキュリティを最優先事項と捉えています。

本ポリシーは、当社取扱製品に関するセキュリティ上の脆弱性を発見された方が、安全かつ迅速に報告できる手続きを定めるものです。善意に基づく脆弱性報告を歓迎し、報告者の協力に感謝いたします。

当社取扱製品のセキュリティに関する問題を発見された場合は、以下の窓口までご連絡ください。

お問い合わせ窓口

日本国内のお客様はこちらへご連絡ください

報告の際は、以下の情報をできる限りご提供ください。

セキュリティ脆弱性の報告をいただいた後、当社は以下の手続きを実施します。

受領確認 - 報告を受領した旨を報告者にご連絡いたします。報告内容の確認および担当者への引き継ぎを行います。
調査・評価 - 報告された脆弱性の深刻度（後述のセキュリティアップデート優先度方針に基づく重大度分類）および影響範囲を調査します。調査結果を報告者にお知らせします。
対策の開発・テスト- 脆弱性の深刻度に応じた優先度で、修正パッチまたはファームウェアアップデートを開発します。開発完了後、十分なテストを実施します。
アップデートの配布 - 修正済みのファームウェアをOTA（Over-The-Air）機能を通じて対象製品に配布します。アップデートの配布開始を報告者にご連絡します。
クローズ・情報公開 - 対策完了後、適切なタイミングで脆弱性に関する情報を公開します（報告者との協議の上、公開時期を決定します）。

善意の報告に関する法的免責について

本ポリシーに従い善意をもって脆弱性を報告いただいた方に対して、当社は法的措置を取ることはありません。報告者の個人情報は、当社のプライバシーポリシーに従い適切に管理いたします。

報告された脆弱性が解決されるまでの間、当社は以下のタイムラインで報告者へ状況をご報告します。

深刻度の分類については、「セキュリティアップデート優先度方針」をご参照ください。

本方針は、当社取扱のIoT製品において発見されたセキュリティ上の脆弱性または問題に対するアップデートの優先度を決定するための基準を定めます。

当社は、深刻度の高いセキュリティ問題に対して迅速な対応を行うことを約束します。ファームウェアアップデートは、製品に適した安全なリモートアップデート機能を通じて配布されます。

発見された脆弱性は以下の4段階に分類し、深刻度に応じた優先度で対応します。

深刻度 - 定義・例

緊急 (Critical) - 遠隔から認証なしで製品を完全に掌握できる脆弱性。または暗号鍵・認証情報の漏洩。深刻な被害をただちに引き起こす可能性があるもの。

高 (High) - 認証を回避できる脆弱性、または重要機能への不正アクセスを可能にする脆弱性。悪用される可能性が高いもの。

中 (Medium) - 特定条件下で悪用される可能性がある脆弱性。影響範囲は限定的だが対処が必要なもの。

低 (Low) - 悪用される可能性が低い、または影響が軽微な脆弱性。定期アップデートでの対処が適切なもの。

※ 対応期間は脆弱性の複雑さおよび影響範囲に応じて個別に決定し、報告者に直接ご連絡します。

セキュリティアップデートは以下の方法で配布されます。

リモートアップデート（OTA）：対応製品はサーバからのリモートアップデート機能（OTA）により自動的にファームウェアを更新します。現地での作業は不要です。対応していない製品は設定ツールまたは手動手順により更新します。
署名済みファームウェア：すべてのファームウェアアップデートにはデジタル署名が施されており、製品側で署名検証を実施後にのみ適用されます。改ざんされたファームウェアは自動的に拒否されます。

本方針は以下の製品に適用されます。

当社取扱製品のセキュリティサポート期間は、製品の保証期間内（製品出荷日から1年間）です。保証期間終了後も、有償保守契約による継続サポートをご提供できる場合があります（個別のご相談・合意が必要です）。詳細はお問い合わせください。サポート終了が予定される場合は、事前にユーザへ通知します。