東芝グループは、提供する製品・サービスをお客さまに安心してお使いいただけるよう、本ポリシーに基づき東芝グループ製品・サービスに関わる脆弱性情報の収集および影響調査、リスク評価を行い、脆弱性と確認した場合は適切にその情報および対処方法を公表します。情報セキュリティ早期警戒パートナーシップ*1やCVEプログラム*2にも参画し上記を推進します。
*1 情報セキュリティ早期警戒パートナーシップ(IPA)
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
*2 CVEプログラム
https://www.cve.org/
脆弱性情報の収集
提供する製品・サービスの脆弱性に関する情報を幅広く収集します。東芝グループ製品・サービスに関わる脆弱性を発見した場合、東芝グループ脆弱性情報受付窓口(東芝PSIRT)または国内外の調整機関への連絡をお願いします。
連絡には少なくとも以下の内容を含めるようお願いします。
- 対象製品・サービスの名称
- 脆弱性の内容・想定される影響
メールで連絡いただく際はPGPによる暗号化をお願いします。
受付窓口に連絡をいただいた方(以下、報告者)には連絡を受けてから通常3営業日以内に受け付けた旨を連絡します。ただし特定期間(年末年始休暇、ゴールデンウィーク、夏季休暇期間など)は遅れる場合があります。本ポリシーにそぐわないと判断した場合は対応を見合わせることもあります。
調査・対策
受け付けた脆弱性に関する情報を東芝グループ内に速やかに展開し、調査します。調査の結果、東芝グループ製品・サービスの新たな脆弱性と確認した場合はその影響やリスクを評価します。評価の結果、リスク低減を要すると判断した場合は対策方法を検討、準備します。その際、必要に応じて製品開発関係者などのステークホルダーとの調整も行います。新たな脆弱性ではないと確認した場合は報告者と調整のうえ対応を終了します。
脆弱性に関する情報や対策方法などは東芝グループ内で適切に管理し、公表前に第三者に開示することはありません。
報告者とのコミュニケーション
少なくとも以下の場合に報告者と適切にコミュニケーションを図り、調査、対応状況を連絡、更新します。
- 東芝グループ製品・サービスの新たな脆弱性と確認した場合
- 影響調査やリスク評価の結果、判断や認識が変化した場合
- 報告者以外の第三者とも調整する場合
- 公表に向けて準備する場合
- 対応を終了する場合
上記過程において報告者に追加の情報提供を依頼する場合があります。報告者との連絡はメールを介して実施します。連絡内容の第三者への意図しない漏えいを防ぐため暗号化をお願いすることがあります。なお、善意の連絡、協力に対して東芝グループから報告者に訴えを起こすことはありません。
公表
評価の結果、リスク低減を要すると判断した場合は適切なタイミングで脆弱性情報および脆弱性への対策方法を東芝グループのウェブサイトやJVN*3などを通じて公表します。公表する脆弱性にCVE IDが割り当てられていない場合、東芝グループはCNA(CVE Numbering Authority)としてCVE IDを取得し公表内容に含めます。社会インフラ関連製品・サービスなど、特定のお客さまに影響が及ぶ可能性があると判断した場合は営業窓口等を通じ、個別にご連絡することもあります。
*3 JVN(Japan Vulnerability Notes)
https://jvn.jp/
謝辞
東芝グループ製品・サービスの脆弱性発見または解決に貢献いただいた方に対しては、同意のうえで公表時に謝辞を掲載します。
更新履歴
2025年7月18日 詳細追記
2021年6月16日 新規公開