海辰製品のネットワークセキュリティ脆弱性管理プログラム

海辰は、IEC 62443-4-1標準に基づいてネットワークセキュリティ脆弱性管理プロセスを策定しており、そのプロセス実行フロー図は以下の通りです  

n  ネットワークセキュリティ情報の受取：PSIRTは、外部から提供されたネットワークセキュリティ情報を受け取った後、2営業日以内に提出者に連絡し、問題の確認を行います。

n  事態評価、影響分析：PSIRTは、ネットワークセキュリティ情報に関連する内容を分類し、事態の評価および影響分析を実施します。その結果、影響が緊急対応を開始すべきかどうかを初步的に確認します。

n  脆弱性の分析と研究：PSIRTは、製品開発チームと協力して、脆弱性が発生する根本原因と発生の可能性を評価し、その危害度を評価します。そして、この脆弱性の深刻度を定義し、リスクの軽減や脆弱性修正のための解決策を検討します。この段階では、PSIRTは報告者との積極的なコミュニケーションを維持します。

n  脆弱性処置：PSIRTは、製品開発チームと協力して、ソフトウェア/ファームウェアの修正パッチを開発するか、リスク軽減策を特定します。また、PSIRTは関連する脆弱性情報を継続的に監視し、脆弱性の深刻度を正しく評価します。脆弱性のリスクレベルが高く、修正パッチの開発に時間がかかる場合、最終的な修正案が完了する前に、顧客に対して緊急の軽減策を提供します。

n  脆弱性の公開：脆弱性が修正された後、PSIRTは海辰のウェブサイトの「セキュリティお知らせ」ページにネットワークセキュリティ脆弱性の処置結果を公開します。その内容には、脆弱性の説明、影響を受ける可能性のある製品とバージョン、軽減策、修正計画などが含まれます。

海辰のPSIRTチームと開発チームは、共通脆弱性評価システム（CVSS）および海辰のネットワークセキュリティ脆弱性管理プロセスに定義された可能性、影響などの要素に基づいて脆弱性分析を行い、脆弱性のリスク値を評価します。そして、このリスク値に基づいて処理時間を決定します。

脆弱性処理の期間中、必要に応じてPSIRTは脆弱性報告者とさらに連絡を取り、脆弱性分析、解決策の検討、意見交換などを行います。

製品のネットワークセキュリティに関するお知らせの更新と公開については、「サイバーセキュリティのお知らせ」ページをご覧ください。蓄エネ製品の特性およびセキュリティ要件により、ユーザーによる更新操作はサポートしておりません。脆弱性パッチや更新の取得およびインストールに関するガイダンスについては、海辰のアフターサービスエンジニアにご連絡ください。

製品のネットワークセキュリティ脆弱性報告チャンネル

海辰製品に潜在的な脆弱性が見つかった場合は、直ちに暗号化されたメールでご連絡ください。迅速な報告がリスクを避けることに繋がります。

速やかに処理するために、以下の情報をご提供ください：

1.製品モデルとソフトウェア/ファームウェアのバージョン

2.脆弱性の再現環境と手順（ログやスクリーンショットを添付）

3.概念検証用コード（該当する場合）

4.脆弱性の利用シナリオの説明

5.ネットワークキャプチャデータ（例：Wiresharkの記録）

6.その他の関連技術の詳細

海辰のネットワークセキュリティ連絡用メールアドレス：

IACS-CyberSecurity@Hithium.com

免責事項

本脆弱性管理原則は実際の状況により調整される可能性があり、海辰はすべての問題に対応することを約束するものではありません。ユーザーは本ドキュメントまたは関連リンクの内容を使用するリスクを自己責任で負うものとします。弊社は本原則を随時変更する権利を留保しており、更新されたバージョンは公式ウェブサイトに公開されます（http://www.hithium.com）