Skip to Content
Go back
BAS-IP / セキュリティポリシー

脆弱性開示ポリシー

一般情報

BAS-IP は、当社製品で発見されたセキュリティ上の脆弱性の管理と対応において、業界をリードする慣行に従っています。当社が提供する製品およびサービスに脆弱性が全くないことを保証することは不可能です。これは BAS-IP に固有の特徴ではなく、すべてのソフトウェアとサービスに共通する条件ですが、開発のあらゆる段階で、潜在的な脆弱性を特定し排除する努力を行い、それによって BAS-IP 製品やサービスを顧客環境に展開することに伴うリスクを低減することを保証します。

BAS-IP は、一部の標準的なネットワークプロトコルやサービスには、悪用される可能性のある固有の弱点があることを認識しています。BAS-IP はこれらのプロトコルやサービスに対して責任を負いませんが、BAS-IP 製品、ソフトウェア、およびサービスに関連するリスクを軽減するための推奨事項を、様々なガイドの形で提供しています。

本ポリシーの対象範囲

本ドキュメントに記載されている脆弱性管理ポリシーは、BAS-IP ブランドのすべての製品、ソフトウェア、およびサービスに適用されます。

本ポリシーの非対象範囲(What the Policy Does Not Cover)

一部の脆弱性は、BAS-IP の脆弱性管理ポリシーの対象外です。以下の脆弱性に関するレポートは、[email protected] に送信しないでください。

  • 高い特権ソーシャルエンジニアリングを必要とする脆弱性で、root/管理者アクセスでトリガー/実行されるもの、または複雑なユーザーインタラクションを必要とするもの
  • サブドメイン乗っ取り (Subdomain takeover)。例えば、現在使用されていないサービスを指すノードの制御権を得ること
  • BAS-IP のガイドに従うことで防止できる不適切なユーザー設定
  • サードパーティのユーザーやパートナーによって作成されたコンテンツやアプリケーションに含まれる脆弱性。例えば、BAS-IP デバイスにダウンロードして実行できるアプリケーションなど
  • BAS-IP デバイスのウェブインターフェースにアクセスする際に、悪意のあるウェブサイトにアクセスさせたり、偽装されたリンクをクリックさせたりするクロスサイトリクエストフォージェリ (CSRF) または クロスサイトスクリプティング (XSS) の脆弱性
  • BAS-IP 製品、ソフトウェア、またはサービスで使用されているソフトウェアコンポーネントやパッケージに存在する、CVE識別子で登録されたサードパーティのオープンソース脆弱性。このようなソフトウェアコンポーネントの一般的な例には、Linuxカーネル、OpenSSL、AOSPなどが含まれます
  • HTTP(S) セキュリティヘッダーの欠如、例えば X-Frame-Options
  • サードパーティのネットワークセキュリティスキャナによって生成された脆弱性レポート
  • サポート対象外の製品/ソフトウェア/サービス
  • ネットワークサービス拒否 (DoS または DDoS) テスト、またはシステムやデータへのアクセスを妨害したり、損害を与えたりするその他のテスト

義務

BAS-IP は、研究者が BAS-IP 製品、ソフトウェア、およびサービスの脆弱性を特定し報告する努力を評価し、奨励します。責任ある開示プロセスに従い、BAS-IP の製品セキュリティチームは、開示プロセス全体を通じて、相互協力と透明性を通じて研究者の利益を最大限に尊重します。

BAS-IP は、研究者が 90日間の期間が満了するか、または相互に合意した日付まで脆弱性を開示しないこと、そして BAS-IP Company、そのパートナー、および顧客のセキュリティを害することなく、機密性を漏洩することなく、または危険にさらすことなく、法的な範囲内で脆弱性研究を実施することを期待しています。

脆弱性管理(Vulnerability Management)

BAS-IP Company は、広く知られている CVSS 評価システムを使用して脆弱性を評価します。

オープンソースコンポーネントの脆弱性に関して、BAS-IP は、BAS-IP が製品、ソフトウェア、およびサービスの実装を推奨する方法のコンテキストにおけるその重要性に応じて脆弱性を評価する場合があります。セキュリティに関する相談は、通常、BAS-IP に特有の脆弱性に対してのみ提供されます。

脆弱性が評価され、修正の対象となる場合の優先度配分

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP は、外部開示前または外部開示から4週間以内に脆弱性を修正することを目指します。オープンソースコンポーネントの場合、BAS-IP は情報、修正、および/または検証を外部関係者に依存しているため、通常、期間は長くなります
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP は、通常2~3ヶ月以内に脆弱性を修正することを目指します
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP は、次回の予定されているリリースで脆弱性を修正することを計画しています
  • サポート対象のソフトウェア/サービス
    BAS-IP ソフトウェア/サービスのサポート段階は、全体的なソフトウェアライフサイクルプロセス内で決定されます。BAS-IP ソフトウェア/サービスは、通常、製造中止 (end-of-life) の発表後 1年間サポートされます。

脆弱性の報告

BAS-IP は、製品における脆弱性に関連するリスクを特定し、軽減するために継続的に取り組んでいます。ただし、BAS-IP の製品、ソフトウェア、またはサービスに関連するセキュリティシステムの問題を発見した場合は、直ちに問題を報告することを強く推奨します。セキュリティシステム脆弱性のタイムリーな報告は、その実用的な利用の可能性を減らすために非常に重要です。オープンソースソフトウェアコンポーネントに関連するセキュリティ脆弱性は、直接担当組織に報告する必要があります。

潜在的な脆弱性を発見したエンドユーザー、パートナー、サプライヤー、業界団体、および独立した研究者は、[email protected] に、または匿名フォームに記入して、その発見を報告することが奨励されます。

提出される報告書には、以下を含める必要があります。

  • 潜在的な脆弱性に関する技術情報
  • 再現手順
  • CVSS 3.1 に基づく、悪用された場合の推定される影響と深刻度
  • 研究者自身の脆弱性開示ポリシー(もしあれば)

BAS-IP Company からは、以下を期待できます。

  • 初回応答までの時間 — 初回メッセージ受信後3営業日以内
  • 処理時間(初回応答受信の瞬間から) — 10営業日以内
  • 解決策を遅らせる可能性のある質問や問題を含め、修正プロセスで講じる措置について、可能な限り透明性を保ちます
  • 問題を議論するためのオープンな対話を維持します

脆弱性の開示

発見された脆弱性の報告が調査され、真正であると確認された後、BAS-IP は責任ある開示プロセスを開始します。BAS-IP は、CVSS 3.1 評価、セキュリティ推奨事項の内容、および/またはプレスリリース(該当する場合)、ならびに外部開示の期日など、さらなる詳細について研究者と協力するよう努めます。

BAS-IP Company と研究者の間の合意後、BAS-IP Company がセキュリティ推奨事項やプレスリリースを公開することにより、脆弱性は外部向けに開示されます。

ドキュメント変更履歴

バージョン日付説明
1.015.02.2024初回リリース