脆弱性対応ポリシー

導入

RSAは、お客様が当社製品のセキュリティ脆弱性に関連するリスクを最小限に抑えることができるように努めています。当社の目標は、脆弱性に対処するためのタイムリーな情報、ガイダンス、緩和策をお客様に提供することです。RSA製品セキュリティインシデント対応チーム（RSA PSIRT）は、RSAに報告されたすべての製品の脆弱性に対する対応と情報公開を調整する責任を負っています。

セキュリティ脆弱性の報告方法

RSA製品にセキュリティ脆弱性を発見した場合は、直ちにご報告ください。セキュリティ研究者、業界団体、ベンダー、およびテクニカルサポートにアクセスできないその他のユーザーは、脆弱性レポートを直接RSA 電子メールによるPSIRT.セキュリティの脆弱性をタイムリーに特定することは、顧客に対する潜在的なリスクを軽減する上で極めて重要である。

RSA製品のお客様およびパートナー様は、RSA製品で発見されたセキュリティ問題を各テクニカルサポートチームにご連絡ください。テクニカルサポートチーム、該当する製品チーム、およびRSA PSIRTが協力して、報告された問題に対処し、次のステップをお客様に提供します。

潜在的な脆弱性を報告する際には、報告された問題の性質と範囲をよりよく理解するために、以下の情報をできるだけ多く含めてください：

脆弱性を含む製品名とバージョン
問題が再現された環境またはシステム情報（製品型番、OSバージョンなど）
脆弱性のタイプおよび/またはクラス（XSS、バッファオーバーフロー、RCE、CWE, その他.)
脆弱性を再現するためのステップバイステップの手順
概念実証または悪用コード
脆弱性の潜在的影響

脆弱性レポートの取り扱い

RSAは、セキュリティ研究者と良好な関係を維持することを信条としており、研究者の同意があれば、有効な製品の脆弱性を発見し、問題を非公開で報告した研究者を表彰することがあります。その見返りとして、研究者には、脆弱性を一般に公開する前に、脆弱性を修正する機会を与えていただくようお願いしています。RSAは、脆弱性の一般公開を調整することがお客様を保護する鍵であると考えています。

このポリシーによると、開示された脆弱性に関する情報はすべて、その情報がまだ公になっていない場合、救済策が利用可能になり、開示活動が調整されるまで、RSAと報告者の間に留まることを意図しています。

脆弱性の修復

報告された脆弱性を調査および検証した後、RSAは、RSAがアクティブにサポートしている製品について、適切な救済策の開発および認定を試みます。救済策は、以下の1つまたは複数の形態を取ることがあります：

RSAによってパッケージ化された、影響を受ける製品の新しいリリース；
RSAが提供するパッチは、影響を受ける製品の上にインストールすることができます；
脆弱性を緩和するために必要な、サードパーティベンダーからのアップデートまたはパッチのダウンロードとインストールの指示；
RSA が公開する修正手順または回避策で、脆弱性を緩和するために製品構成を調整するようユーザに指示するもの。

RSAは、商業的に合理的な最短時間で救済措置または是正措置を提供するためにあらゆる努力を払います。対応スケジュールは、重大性、影響、是正措置の複雑さ、影響を受けるコンポーネント（例えば、一部のアップデートは長い検証サイクルを必要とする、またはメジャーリリースでのみアップデート可能）、製品のライフサイクル内の段階、事業運営の状況など、多くの要因によって異なります。

影響度と深刻度の評価

RSAは現在共通脆弱性スコアリングシステムバージョン3.1（CVSS v3.1）は、RSAのソフトウェア脆弱性の特性と深刻度を伝えるためのオープンフレームワークです。脆弱性を悪用するために必要な労力のレベルや、悪用に成功した場合のデータや事業活動への潜在的な影響など、多くの要素が考慮されます。

セキュリティアドバイザリの全体的な影響度は、特定されたすべての脆弱性のうち、最も高い CVSS ベーススコアに対する CVSS 重大度質的評価尺度に従って、重大度（重大、高、中、低）をテキストで表現したものです。該当する場合、RSAはアドバイザリ全体の影響度と、特定された各脆弱性のCVSS v3.1ベーススコアおよび対応するCVSS v3.1ベクターを提供します。RSAは、すべてのお客様に対して、ベーススコアと、お客様の環境に関連する可能性のある時間的および/または環境的なメトリックの両方を考慮して、総合的なリスクを評価することを推奨しています。

レメディー・コミュニケーション

通常、RSAは、該当する場合、RSAセキュリティアドバイザリを通じてお客様に改善策をお知らせします。お客様を保護するため、RSAは、影響を受ける製品に対応策が講じられた時点でセキュリティアドバイザリをリリースするよう努めています。RSAは、当社製品で使用されているコンポーネントの一般公開や広く知られている脆弱性に適切に対応するため、セキュリティアドバイザリを早期に公開する場合があります。

セキュリティ勧告は、お客様が脆弱性の影響を評価し、脆弱性の可能性がある製品を改善できるよう、十分な詳細を提供することを目的としています。悪意のあるユーザーが情報を利用し、お客様の不利益になるよう悪用する可能性を低減するため、完全な詳細を制限する場合があります。

RSA セキュリティ・アドバイザリには、通常、該当する場合、以下の情報が含まれます：

全体的な影響度。これは、識別されたすべての脆弱性のうち、最も高い CVSS 基本スコアに対する CVSS 重大度質的評価尺度に従って、重大度（重大、高、中、低）をテキストで表現したものです；
影響を受ける製品とバージョン
すべての特定された脆弱性の CVSS ベーススコアとベクター；
一般的な脆弱性の列挙 (CVE)識別子をすべての特定された脆弱性に付与することで、一意の脆弱性ごとの情報をさまざまな脆弱性管理機能（脆弱性スキャナ、リポジトリ、サービスなどのツール）で共有できるようにする；
脆弱性の簡単な説明と、悪用された場合の潜在的な影響；
改善策の詳細と更新/回避情報；
脆弱性を報告し、RSA と連携してリリースを行った発見者に謝意を表する（該当する場合）。

追加開示情報

RSAのポリシーでは、セキュリティアドバイザリや、リリースノート、ナレッジベース記事、FAQなどの関連文書で提供される以上の、脆弱性の詳細に関する情報を提供することはありません。また、特定された脆弱性のエクスプロイト/概念実証コードを配布することもありません。業界の慣行に従い、RSAは、社内のセキュリティ・テストやその他の種類のセキュリティ活動から得られた知見を外部の組織と共有することはありません。.

その他のセキュリティ問題のRSAへの通知

その他のセキュリティ問題をRSAに報告する必要がある場合は、以下の適切な連絡先をご利用ください：

セキュリティ問題	連絡先
RSA.com、その他のオンラインサービス、ウェブアプリケーション、またはプロパティにおけるセキュリティの脆弱性や問題を報告する場合	報告書の提出先 responsibledisclosure@rsa.com をご覧ください。
プライバシーに関するご要望やご質問	参照 RSAプライバシーページを参照されたい。

お客様の権利保証、サポート、メンテナンス

RSAソフトウェア製品の脆弱性を含め、保証、サポートおよびメンテナンスに関するRSAのお客様の権利は、RSAと個々のお客様との間で締結される該当する契約に準拠します。本Webページの記述は、お客様の権利を修正、拡大、またはその他の方法で変更するものではなく、追加の保証を設定するものでもありません。

免責事項

RSAの脆弱性対応ポリシーのすべての側面は、予告なく、ケースバイケースで変更される場合があります。特定の問題または問題のクラスに対する対応は保証されません。本文書に含まれる情報または本文書にリンクされている資料の使用は、お客様ご自身の責任で行ってください。RSAは、独自の判断により、いつでも予告なく本文書を変更または更新する権利を留保します。