脆弱性ディスクロージャー ポリシー
Lenovo は、安全な製品とサービスを提供することに努めています。脆弱性が発覚した際は、解決に積極的に取り組みます。本文は、Lenovo 製品とサービスの潜在的セキュリティ脆弱性の報告を受理するポリシーと、確認された脆弱性をお客様に告知するための基準をご案内します。
Product Security Incident Response Team (PSIRT) への連絡
弊社製品に潜在的セキュリティ脆弱性を発見した場合は、Lenovo Product Security Incident Response Team (PSIRT) の電子メール アドレス psirt@lenovo.com にメールでご報告ください。インシデント レポートを受け取り次第、弊社担当スタッフが折り返しご連絡し、引き続きご対応いたします。
守秘性を確実にするため、機密情報を含むメールの暗号化をお勧めします。弊社は OpenPGP で暗号化されたメールに対応しています。暗号化メールの送信に使用できる公開キーはこちらから入手できます。
なお、電子メール アドレス psirt@lenovo.com は弊社製品とサービスに固有のセキュリティ脆弱性の報告のみを目的としています。製品とサービスに関する技術サポート情報については、www.lenovo.com/support をご覧ください。
Lenovo は、2 営業日以内にすべてのインシデント レポートの受領を返答するように努めます。
Lenovo からのセキュリティ情報の受け取り
弊社のセキュリティ Web サイト www.lenovo.com/product_security/advisories (英語) で製品とサービスのセキュリティ アドバイザリに関する技術情報を公表しています。 ほとんどの場合、セキュリティ脆弱性の回避策や解決方法が確定されてから公表しますが、セキュリティ コミュニティに広く知れ渡った脆弱性の場合などは、回避策が定まっていなくても公表に至ることがあります。
サードパーティから Lenovo 製品の潜在的セキュリティ脆弱性の報告を受けた場合、Lenovo は調査し、サードパーティと共同のディスクロージャーを公表することがあります。Lenovo
は、守秘義務または秘密保持契約の下で、サプライヤーからセキュリティ脆弱性の情報を受け取ることがあります。その場合、Lenovo はセキュリティ脆弱性の詳細情報を提供できませんが、セキュリティ フィックスのリリースに向けてサプライヤーに働きかけます。
重要度
脆弱性の評価では、業界標準のベスト プラクティスに従って脆弱性の影響の可能性を「高」、「中」、または「低」として示します。このアプローチは、Common
Vulnerability Scoring System (IT 脆弱性の特徴と影響を伝達するためのオープン フレームワークを提供する共通脆弱性評価システム (CVSS)) に従っています。CVSS は、IT マネージャー、脆弱性速報の発行元、セキュリティ ベンダー、アプリケーション ベンダーや研究者に、共通の評価方法を提供します。
説明
セキュリティ アドバイザリが作成されて、脆弱性の名称、原因や追加情報が案内されます。脆弱性を悪用する既知の脅威の情報 (例: エクスプロイトや概念実証コード、インシデントに関する議論またはエビデンスなど) も提供します。また、脆弱性を狙った攻撃の潜在的または予想される結果もアドバイサリに含まれます。
製品への影響
通常、セキュリティ アドバイザリには
Lenovo 製品を「影響あり」、「影響なし」、または「調査中」で区別したリストが掲載されます。影響を受ける製品は、Lenovo サポート サイト (すべての情報が最新の状態に維持されている) からダウンロードできる修正プログラム、回避策または解決予定日へのリンクを含めます。特定の製品に限られた脆弱性の場合、Lenovo は影響を受ける製品のリストのみ掲載することがあります。 時折、すべての製品に対する影響の評価を完了する前に、セキュリティ
アドバイザリを事前に公表することがあります。その場合、状況に「調査中」と記します。セキュリティ アドバイザリ サイトにアクセスしてアドバイザリ ステータスを最新に保つことをお勧めします。
対策
製品の脆弱性の場合、アドバイサリに修正プログラムまたはセキュリティ パッチの入手方法が記載されます。場合によっては、運用方法や利用制限を工夫して修正プログラムやパッチを適用しないで済む回避策が含まれることもあります。
参考文献
脆弱性の追加情報はアドバイサリに参考リンクとして記載されます。これらのリンクには CVE、ブログやアーティクルの引用へのリンクが含まれることもあります。
謝辞
一般に、脆弱性の研究者や発見者に感謝を示すために、承諾を得た上で、謝辞を掲載することがあります。
編集履歴
編集履歴はアドバイサリに加えられた編集の内容と日付を記録します。
注: ケースバイケースの例外も含め、上記プロセスは予告なしに変更することがあります。特定の問題または同類の問題に対し、どのような対応も保証するものではありません。
リリースノート(変更履歴)
セキュリティアップデートに関連するリリースノートに含まれる情報は、CVEまたは内部LEN追跡番号を参照します。 どちらも、必要に応じて公開されているセキュリティアドバイザリに含まれています。 できるだけ早く更新することがお客様の最善の利益であるとLenovoが判断した場合、セキュリティアドバイザリの前に修正がリリースされる可能性があります。 アドバイザリが公開されると、リリースノートのLEN追跡番号を参照することにより、脆弱性に関する情報を見つけることができます。
オープンソースの脆弱性の修正に関連するリリースノートに含まれる情報には、公開されたCVEが含まれます。
