脆弱性情報開示ポリシー
シャープ株式会社(以下当社といいます。)は、お客様に当社製品を安心してご使用いただくために、社内外で発見された脆弱性情報の取扱いについて以下の通り公開いたします。
(注)「脆弱性」(ぜいじゃくせい)とは、デジタル製品のOSやソフトウェアにおいて、プログラムの不具合や設計ミスが原因となって発生した情報セキュリティ上の欠陥をいいます。製品自体の破損や物理的な不具合とは異なります。
-
脆弱性情報の収集
当社では、社内外から広く脆弱性情報の収集を行っております。当社製品の脆弱性を発見された場合には、調整機関(JPCERT/CC*1等)へご連絡いただくか、「シャープ製品脆弱性情報受付窓口」へご連絡をお願いいたします。
調整機関へご連絡いただいた場合には、「情報セキュリティ早期警戒パートナーシップガイドライン*2」に則り、調整機関と連携して対応いたします。当社窓口へご連絡いただいた場合には、受信を確認後、原則5営業日以内(夏季や年末年始等の長期休暇等は除く)に、受領した旨を返信いたします。
-
脆弱性の調査及び対策
ご連絡いただいた製品の脆弱性については、当該製品の設計・開発部門にてその影響範囲と深刻度を確認し、必要に応じて調整機関と連携しながら適切な対策を行います。発見者の方には、対応が終了するまで適宜報告させていただきます。
なお、受領確認後の情報交換は電子メールにて行いますが、お客様情報や脆弱性情報等、機微な情報を含みますので、当社で用意するPGP公開鍵による暗号化での連絡をお願いします。
-
脆弱性情報の公開
当社製品の脆弱性については、対策ができ次第、調整機関とも日程を調整の上、調整機関の関連サイト、及び当社の該当製品のサポートページで対策情報と同時に公開いたします。