Dellでは、Dell製品のセキュリティの脆弱性に関するお客様のリスクを最小化するために、あらゆる手段を講じます。当社は、脆弱性による脅威に対処するための情報、ガイダンス、軽減策のお客様へのタイムリーな提供を目指しています。Dell Product Security Incident Response Team (Dell PSIRT)では、Dell製品に影響を与える製品の脆弱性に対する措置と開示をとりまとめています。
Dellは、Forum of Incident Response and Response Teams (FIRST)(英語で)やSoftware Assurance Forum for Excellence in Code (SAFECode)(英語で)などのさまざまなコミュニティー活動(英語で)に積極的に参加しています。当社の手続きと手順は、FIRST PSIRTサービス フレームワーク(英語で)、ならびにISO/IEC 29147:2018(英語で)やISO/IEC 30111:2019(英語で)を含むその他の標準に準拠しています。
Dellは、当社の業界パートナーとセキュリティ分野の研究者を重んじ、当社のセキュリティ イニシアティブへのあらゆる貢献を高く評価し、調整の取れた責任ある情報開示を奨励します。お客様のセキュリティは当社にとって最も重要な関心事であるからです。当社の目標は、Dell固有の脆弱性を開示するときに救済措置や軽減戦略を確実に提供すること、ならびに修復にサード パーティー ベンダーとのコラボレーションが必要な場合にそれらのベンダーと連携することです。
このポリシーに基づき、新しい脆弱性に関する開示情報はすべて機密と見なされ、救済措置が利用可能になり、開示活動が調整されるまで、Dellと報告者の間でのみ共有されるものとします(該当する情報がまだ公開されていない場合)。
報告された脆弱性の確認および検証後、Dellはサポート対象の製品に対する適切な修復措置の策定および認定に努めます。修復は、次の1つまたは複数の形態で行われる場合があります。
Dellはあらゆる努力を払い、商取引上合理的な最短の時間で修復または対応処置を提供します。対応に要する時間は、以下のようなさまざまな要因に左右されます。
Dellは、共通脆弱性評価システム(英語で) スタンダード バージョン3.1 (CVSS v3.1)を使用して、Dell製品の脆弱性の特性を表しています。この標準は、FIRSTによって維持管理されています。
CVSSスコアリングは、脆弱性の重大度を定量化するための数値的手段を提供し、脆弱性を悪用するために必要な労力のレベルや、脆弱性が悪用された場合の潜在的な影響などの複数の要因を考慮します。Dellは、以下に示すスケールに従って、数値スコア、ベクトル文字列、重大度の定性的表現(「重大」、「高」、「中」、「低」のいずれか)を使用して脆弱性の影響評価を要約します。
重大度 | CVSS v3.1スコア |
重大 | 9.0~10 |
高 | 7.0~8.9 |
中 | 4.0~6.9 |
低 | 0.1~3.9 |
Dellの脆弱性の評価、CVSSスコア、ベクトル文字列は、他のソースによって提供されるものと異なる場合がありますのでご注意ください。不一致が生じた場合、Dellは、Dellセキュリティ アドバイザリーに含まれている情報を信頼できる情報源として使用します。
Dellは、当社の製品に影響を与えるセキュリティの脆弱性についてお客様に知らせるために、セキュリティ アドバイザリー、通知、情報記事を公開しています。
Dellが分析を行って解決策を特定すると、お客様が自分自身を保護する方法と脆弱性を軽減および/または修復する方法に関するガイダンスまたは手順を提供するセキュリティ アドバイザリーがリリースされます。
セキュリティ アドバイザリーでは、脆弱性の影響を評価し、影響を受ける可能性がある製品を修復するための十分な詳細情報を提供します。ただし、悪意のある攻撃者が、お客様に損害を与える目的で提供された情報を悪用できないようにするため、情報が過度に詳細にならないように調整しています。
Dellのセキュリティ アドバイザリーには、通常、必要に応じて次の情報が含まれます。
Dellは、一般に知られているセキュリティの脆弱性を追認し、追加情報がいつ(またはどこで)利用可能になるかに関する声明またはその他のガイダンスを提供するため、個々の状況に応じてセキュリティ通知を発行する場合があります。
Dellは、セキュリティ関連の情報記事を公開して、次のようなセキュリティ関連のトピックに関する情報を共有する場合があります。
Dellのセキュリティ アドバイザリーおよび注意は、www.dell.com/support/security(英語で)でご覧いただけます。情報記事は、このリンクで認証を受けるとご覧いただけます。
Dell製品にセキュリティの脆弱性が見つかった場合は、できるだけ早急にその問題のご報告をお願いいたします。潜在的な脅威を取り除くには、セキュリティの脆弱性をタイムリーに見つけて報告することが不可欠です。セキュリティ分野の研究者は、Dell Bugcrowdサイト(英語で)を介して製品の脆弱性レポートを提出する必要があります。 エンタープライズ向け製品や法人向け製品のお客様およびパートナー様が、お使いのDell製品でセキュリティの問題を発見された場合、該当するテクニカル サポート チームにご報告をお願いいたします。テクニカル サポート チームは、適切な製品チームおよびDell PSIRTと連携し、報告された問題に対処してお客様に対応策を提供します。
テクニカル サポートにアクセスできない、またはバグ報奨金プログラムを利用したくない業界グループ、ベンダー、その他のユーザー様は、脆弱性レポートをEメールでDell PSIRTに直接送信できます。機密情報を送信する場合は、PGPとDell PSIRT PGPキーを使用してEメール メッセージと添付ファイルを暗号化する必要があります。Dell PSIRT PGPキーはこちらからダウンロードできます。Dellは、事情の許す限り速やかに、お客様の脆弱性開示レポートを承認します。
いずれの場合も、Dellは受領後3営業日以内にお客様の脆弱性開示レポートに同意し、30暦日以内の頻度で修復に関する最新情報を提供するよう努めます。
潜在する脆弱性の性質と範囲をより深く理解するために、次の情報をできるだけ詳しく記載するようにしてください。
脆弱性により、機密情報や非公開情報(サード パーティーのデータ、個人データ、またはDellによって内部使用、制限付き、厳しい制限付きとマークされた情報など)へのアクセス権が付与された場合は、Dellに脆弱性を報告するために最小限必要な情報にのみアクセスしてください。Dellに提出する以外に、こうした情報の保存、転送、使用、保持、開示、コピーは行わないでください。
また、所有者の明示的な許可がない限り、Dell製システムの整合性または可用性に影響を与えるアクションは行わないでください。概念実証を取得するために最小限必要なアクションのみを行ってください。調査中にパフォーマンスの低下に気づいた場合、または誤って違反や障害(顧客データやサービス構成へのアクセスなど)が発生した場合は、自動化ツールの使用を停止し、インシデントを直ちに報告してください。セキュリティの調査がこのポリシーに合致しているかどうかに関して懸念事項や不確かな点がある場合はいつでも、先に進む前にsecure@dell.comにお問い合わせください。
その他のタイプのセキュリティ問題をDellに報告するには、以下に記載されている適切な連絡先を使用してください。
セキュリティの問題 | 連絡先情報 |
Dell.comやその他のオンライン サービス、Webアプリケーション、プロパティなどにおけるセキュリティの脆弱性や問題を報告する場合。 | 問題を再現するための詳細な手順を記載したレポートを、https://bugcrowd.com/dell-com(英語で)までお送りください。 |
Dell Financial Servicesに関連して、個人情報漏洩への懸念をお持ちの場合や詐欺被害に遭われた場合。 | Dell Financial Servicesのセキュリティ(英語で)をご覧ください。 |
プライバシー関連のリクエストや質問を送る場合。 | Dellのプライバシー ステートメント(英語で)をご覧ください。 |
Dellは、セキュリティ アドバイザリーと関連ドキュメント(リリース ノート、ナレッジベース記事、FAQ(よくある質問)など)で脆弱性の修復作業に関する情報を提供することで、できる限り透明性を確保するよう努めています。 Dellは、特定された脆弱性に対する検証済みの攻撃コードまたは概念実証コードを共有しません。また、業界の慣行に従って、社内のセキュリティ テストから得られたテスト結果や概念実証、またはその他の種類の部外秘情報を、外部の組織と共有することはありません。
保証、サポート、メンテナンスに関するDellのお客様の権利は、Dellと個々のお客様との間の該当する契約によってのみ管理されます(Dell製ソフトウェア製品の脆弱性を含む)。このWebページに記載されている内容によって、お客様の権利に変更、拡張、または改正が生じることや、その他の保証が新たに発生することはありません。
この脆弱性対応ポリシーのすべての内容は、予告なしに変更される場合があります。すべての具体的な問題または問題のクラスについて対応が保証されているわけではありません。本文書または本文書でリンクされている資料に記載されている情報の使用は、お客様自身の責任において行ってください。