脆弱性処理ポリシー

キヤノンメディカルシステムズ株式会社(以下「当社」という)が提供する医療機器及び医療用アプリケーションを含む医療システムにおいて、製品のセキュリティを確保し、サイバー攻撃からお客様を守るために、「情報セキュリティ早期警戒パートナーシップガイドライン*1」に基づき、製品の脆弱性に関する情報を以下のプロセスで公開いたします。

  1. 脆弱性の監視
  2. 脆弱性のリスク評価
  3. 脆弱性の開示(セキュリティアドバイザリの公開)

1. 脆弱性の監視


 定期的に当社において脆弱性スキャンツールを適用し、脆弱性を検出します。また、独立行政法人情報処理推進機構のウェブサイトに掲載される脆弱性を定期的に確認します。社外のセキュリティ研究者から製品の脆弱性に関する情報を収集しております。

 当社製品に関連する脆弱性を報告いただくためのウェブサイトを立ち上げ、広く情報収集を行います。製品の脆弱性に関する情報は、当社ウェブサイトの製品セキュリティ情報 脆弱性報告(フォーム)から当社へご連絡ください。報告フォームはSSL/TLSによって暗号化されております。報告フォームからご連絡いただいた後のご報告者様とのコミュニケーションは電子メールにて行います。電子メール及び添付ファイルに未公開の脆弱性に関する機微な情報を含む場合は、情報の第三者への意図せぬ開示を防ぐため、メールの暗号化等にご協力いただけますようお願いいたします。

2. 脆弱性のリスク評価


米国Health-ISAC(Health Information Sharing and Analysis Center)が提供する脅威インテリジェンスが提供する脅威情報等も活用し、検出された脆弱性のリスク評価を行います。リスク評価では、当社製品において、当該の脆弱性が悪用される可能性、脆弱性が悪用された場合の危害程度、脆弱性を悪用する脅威有無を評価します。この評価は共通脆弱性スコアリングシステムを参考として定量的に評価します。

脆弱性の監視により収集した脆弱性に対して、脆弱性の悪用可能性の評価を実施します。収集した脆弱性のうち、悪用可能性ありと判定したものについて、当該製品の設計・開発部門が脆弱性の危害程度/リスク緩和策/脅威緊迫度の評価を行った上で、脆弱性に対する総合判定を行います。総合判定を基に、改修、もしくは、対策が必須であると判断した場合、当社内において苦情として処理した上で、脆弱性の開示を行います。
また、当社製品に影響を与える可能性がある脅威が報告され、緊急性が高いと判断された場合にも、脆弱性の開示を行います。

3. 脆弱性の開示(セキュリティアドバイザリの公開)


当社ホームページに脆弱性に関する情報として、脆弱性の概要、脆弱性が悪用された場合の想定危害、脆弱性の悪用リスクを低減するための対策を案内します。遅くとも3か月以内を目途に当該の脆弱性を解決するセキュリティパッチ、又は、セキュリティリスク緩和策を案内します。
当社製品に関連する脆弱性を確認した場合には、独立行政法人情報処理推進機構(IPA)又はJapan Computer Emergency Response Team Coordination Center(JPCERT/CC)と連携し、協調的脆弱性開示を行います。CVE/CWE番号の発番が必要となった場合、JPCERT/CC経由でCVE 番号/CWE番号の発番を行い、ご報告者様をはじめとする関係者様と公開日を調整のうえ、当社ウェブサイトにてセキュリティアドバイザリを公開いたします。CVE番号/CWE番号が発行されると、JPCERTを経由して、日本国外の各国のCERTに情報が提供されます。
また、公開と同時にJPCERT/CC及び必要に応じ海外のCERTへ脆弱性の届け出を実施いたします。情報セキュリティ早期警戒パートナーシップガイドラインに基づき、原則としてご報告者様、調整機関、当該製品開発者以外の第三者へ公開前の脆弱性に関する情報を開示いたしません。
当該の脆弱性を解決するセキュリティパッチの適用を希望される場合、最寄りの当社支社・支店・サービスセンターまでお問い合わせください。製品セキュリティのための保守契約を締結されている当社製品に関しては、計画に従い、セキュリティパッチの適用を行います。

お客様がポリシー提供をご依頼された場合に、本ポリシーをポリシー文書として提供いたします。

*1情報セキュリティ早期警戒パートナーシップガイドライン(IPA発行)
https://www.ipa.go.jp/security/ciadr/partnership_guide.html