セキュリティサポート

Brother PSIRT 脆弱性公開ポリシー

 

本ポリシーは、お客様またはセキュリティ研究者が発見した脆弱性をブラザー工業に報告する方法およびその後の対応について、お客様及びセキュリティ研究者に対してお知らせすることを目的としています。

脆弱性報告の対象

脆弱性報告の対象は、ブラザー工業の製品、ソフトウェア、およびクラウドサービス商品です。

下記に該当するものについては、報告を受け付けておりません。

• サポート対象外の商品（体験版・試用版、サポートを終了した商品）
• 再現性がない脆弱性
• 公開済みの脆弱性
• 悪用できない脆弱性
• ボリューム型、サービス拒否の脆弱性（大量のリクエストでサービスを圧倒するなど）
• TLS構成の弱点（例:「弱い」暗号スイートのサポート、TLS1.0のサポート、sweet32、BEASTなど）
• ソーシャルエンジニアリング攻撃
• 製品と連携する第三者のウェブサイトにおけるセキュリティバグ
• セキュリティヘッダーがないなど、当社の製品、サービスが「ベストプラクティス」と完全に一致していないことを示す報告

脆弱性の報告

弊社製品についての脆弱性のご報告は、下記の報告フォームからお願いします。

Brother PSIRT 脆弱性報告窓口

報告内容のトリアージと優先順位のために、次のことを報告していただきますようお願いいたします。

• 脆弱性が発見された製品名、ソフトウェアバージョン、機能または通信プロトコル
• 脆弱性が悪用された場合の潜在的な影響
• 脆弱性を再現するために必要な手順の詳細な説明

Brother PSIRTは、製品の脆弱性に関するお問い合わせ窓口です。脆弱性に関連しないお問い合わせには、回答できない可能性があります。
脆弱性に関連しないお問い合わせは、お住まいの地域のブラザーコールセンターまたは製品を購入されたディーラーまでお問い合わせください。
連絡先はブラザーのホームページをご覧ください。

弊社では、弊社製品に対するセキュリティ上の欠陥や脆弱性の検証を目的とした試みが以下に示す条件を守る限りにおいて、セキュリティ研究者に対して法的措置をとらない方針です。

• 個人または弊社に対していかなる損害も与えないように配慮しつつ、セキュリティ上の欠陥や脆弱性の善意のテストまたは調査のみを目的とすること
• その活動から得られた情報が、弊社製品またはそれらを利用する人々のセキュリティや安全性の向上を主な目的として使用されること

ただし、セキュリティ上の欠陥や脆弱性の検証目的であっても、以下の行為は禁止します。

• DoS攻撃・DDoS攻撃に該当する検証、またはシステムやデータへのアクセス妨害や損傷をもたらすその他の検証
• オフィスへの立ち入り、弊社敷地への侵入、尾行などの物理的な検証、ソーシャルエンジニアリング、その他非技術的な脆弱性の検証
• 自分自身のアカウントや情報以外へのアクセス、改ざんを試みるなどの行為

ご報告を頂いた後の弊社対応

製品の脆弱性に関する報告いただいた後、7日以内に報告を受領したことをお知らせします。
当該お知らせにつきましては、お住まいの地域にあるブラザー販売会社の担当者がご連絡させていただく場合がございます。このご連絡のために、Brother PSIRT 脆弱性報告窓口にご入力いただいた個人情報をブラザー販売会社に共有することがあります。弊社の個人情報の取扱いについてはこちらをご確認ください。
報告いただいた脆弱性情報はBrother PSIRTが管理し、当該製品の設計開発部門と連携して調査を行います。
弊社製品に脆弱性が存在するかどうかを確認後、ご指定いただいたメールアドレスへ改めてご連絡いたします。
製品に影響する新規の脆弱性であることを確認した場合は、関係部門で対応方針および対応時期などを総合的に判断し、対応を進めます。
必要に応じて、お客様が適切な対策を講じられるよう、報告者様を含む関係者間で公開日を調整した上で速やかに、下記弊社ウェブサイトにセキュリティアドバイザリを掲載いたします。

セキュリティ情報サポート

報奨

弊社ではご報告の内容に関わらず、報奨は提供しておりません。