製品のセキュリティ インシデント対応プロセス

ネットアップは、標準的なプロセスに従って、脆弱性への対処とお客様への通知を行っています。

脆弱性レポートの受領: お客様や調査会社の方々が機密性の高い詳細情報をネットアップのVulnerability Response Team(PSIRT;脆弱性対応チーム)に送信する場合、ネットアップでは、PGPで暗号化されたEメールを使用することを勧めています。 ネットアップは、自社製品の疑わしい脆弱性を調査するとともに、脆弱性レポートが届いてから7営業日以内に受領確認を行っています。

検証: ネットアップのPSIRTエンジニアが脆弱性を検証し、CVSSフレームワークの範囲内で評価を実施します。

解決策の構築: ネットアップは、自社の厳しい品質管理基準が許す限り(通常、テストと検証には相当な時間がかかります)、できるだけ迅速に重要な修正プログラムや問題の軽減策をお客様に提供できるように努力しています。 

通知: ネットアップが開示するのは、お客様が自社環境における脆弱性の影響を評価するうえで必要最小限の情報と、脅威の軽減に必要な手順(存在する場合)に限られます。 これには、悪意のある人物がエクスプロイトを開発できるような詳細情報は提供しないという理由があります。

功績の認知: ネットアップでは、社外の脆弱性発見者が身元確認を受けることに明示的に同意し、かつ世間への公表前に脆弱性の修正とお客様への通知の機会を与えてくれた場合、その功績を称え、該当する技術情報に発見者のお名前を記載します。


脆弱性を報告する際には、既存のネットアップ脆弱性レポートをご覧いただき、報告内容が新規のものであることをご確認ください。