セキュリティインシデント管理

ソフトウェアのセキュリティ欠陥を100 %防ぐのは不可能です。そのため、ユーザと管理者にセキュリティ欠陥に関する情報を適宜提供し、被害が発生する前に対策を講じることが重要です。そのためには、会社内の製品セキュリティインシデント対応チーム (PSIRT) をはじめ、適切な管理システムを確立することが重要です。

セキュリティアドバイザリを通じて、当社の特定の製品、または複数の製品に存在する安全性の欠陥を報告します。通常、報告には以下などが含まれます。

• 脆弱性の説明、
• CVSSスコアによる脆弱性の重大度アセスメント、
• 影響を受ける製品 (派生バージョンを含む) のリスト、
• 考えられる対策および承認、必要な場合、当社に脆弱性を報告した当事者への連絡。

CVSS (共通脆弱性評価システム) は脆弱性の重大度を評価する、世界的に認知された標準的手順です。現在、CSVVの3.0バージョンをご利用いただけます。CVSSv3は0～10のスコアを定義しています。重大度は最低0、最高10で評価されます。

以下は、最新のセキュリティアドバイザリです。

セキュリティアドバイザリ

ピルツPSIRTのセキュリティ専門家は、ピルツ製品およびソリューションに関連する、潜在的なセキュリティの脆弱性とセキュリティインシデントを分析、評価、管理します。脆弱性が確認されると、ピルツは注意事項として、この脆弱性の修正法について、PSIRTセキュリティアドバイザリを公表します。

当社はセキュリティ専門家、独立研究者、顧客およびその他関係者の方々に、当社製品およびソリューションのセキュリティ問題について報告をお願いしています。これこそが、協力してさらなる対応を検討し、関係者を調整して、当社の製品とソリューションのセキュリティを強化するための唯一の方法です。お客様との危険を防止し、第三者を巻き込まないために、脆弱性の公表に協力し、当社PSIRTを取り入れるようお願いしています。

ピルツPSIRTのセキュリティスペシャリストが、ピルツ製品の潜在的なセキュリティの脆弱性に関するすべての報告を管理および評価しています。当社の製品やインフラのセキュリティに関するご質問、セキュリティ関連のご報告がありましたら、当社のPSIRTセキュリティエキスパートまでご連絡ください。PSIRTへのご連絡は、ドイツ語または英語でお願いいたします。通常、2営業日以内に初回の回答をさせていただきます。

当社の製品、ソリューション、オンラインサービスに関するあらゆるセキュリティ問題について以下までご報告ください：

PSIRTご連絡先

ご報告には以下の情報を含めてください:

• 問題が発生した製品の製品番号
• デバイスおよびファームウェア (可能な場合)
• 問題を再現する手掛かりとなる不具合または詳細情報 (該当する場合)
• 脆弱性が (お客様または他の方により) すでに公表されているかのメモ

1.分析: 当社のPSIRTが報告された脆弱性を調査し、必要な場合、情報提供者にさらに詳しい情報提供を依頼します。脆弱性の複雑性および製品タイプにより、調査に数日から数週間を要することがあります。いずれの場合も、遅くとも15営業日以降に、情報提供者にフィードバックいたします。

2.対策の定義: 脆弱性の重大度によって、および必要な場合には、他の境界条件、アップデートを用意します。重大な脆弱性の場合、ピルツはセキュリティアドバイザリを用意します。プロセスでは、情報提供者へ定期的にステータスを報告します。

3.公表: 最終的なセキュリティアドバイザリおよび関連するパッチはこのサイトで公開されており、お客様がダウンロードできます。ダウンロードの際には、お客様のユーザネームでログインしてください。ユーザプロファイルをお持ちでない場合には、こちらから無料で登録できます。パッチは脆弱性の重大度に応じて、通常の製品リリースサイクルに準じてのみ公開されますので、ご注意ください。

セキュリティアドバイザリ