Dellの脆弱性対応ポリシー

はじめに

Dellでは、Dell製品のセキュリティの脆弱性に関するお客様のリスクを最小化するために、あらゆる手段を講じます。当社は、脆弱性による脅威に対処するための情報、ガイダンス、軽減策のお客様へのタイムリーな提供を目指しています。Dell Product Security Incident Response Team (Dell PSIRT)は、Dell製品に影響を与える製品脆弱性への対応と開示の取りまとめに責任を負っています。すべてのお客様が引き続きセキュリティ アップデートを受けられるよう、サポート終了日までにサポート対象バージョンのDell製品に移行することを推奨しています。

Dellは、Forum of Incident Response and Response Teams (FIRST)(英語で)やSoftware Assurance Forum for Excellence in Code (SAFECode)(英語で)などのさまざまなコミュニティー活動に積極的に参加しています。当社の手続きと手順は、FIRST PSIRTサービス フレームワーク(英語で)、ならびにISO/IEC 29147:2018(英語で)やISO/IEC 30111:2019(英語で)を含むその他の標準に準拠しています。

脆弱性レポートの処理

Dellは、当社の業界パートナーとセキュリティ分野の研究者を重んじ、当社のセキュリティ イニシアティブへのあらゆる貢献を高く評価し、調整の取れた責任ある情報開示を奨励します。お客様のセキュリティは当社にとって最も重要な関心事であるからです。当社の目標は、Dell固有の脆弱性を開示するときに救済措置や軽減戦略を確実に提供すること、ならびに修復にサード パーティー ベンダーとのコラボレーションが必要な場合にそれらのベンダーと連携することです。

このポリシーに基づき、新しい脆弱性に関する開示情報はすべて機密と見なされ、救済措置が利用可能になり、開示活動が調整されるまで、Dellと報告者の間でのみ共有されるものとします(該当する情報がまだ公開されていない場合)。

脆弱性の修復

報告された脆弱性の確認および検証後、Dellはサポート対象の製品に対する適切な修復措置の策定および認定に努めます。修復は、次の1つまたは複数の形態で行われる場合があります。

  • Dellがパッケージ化した、影響を受ける製品の新しいリリース
  • Dellが提供する、影響を受ける製品にインストールされるパッチ
  • 脆弱性を軽減するために必要なアップデートまたはパッチを、サード パーティー ベンダーからダウンロードしてインストールする方法の説明
  • 脆弱性を軽減するために講じることができる対策についてユーザーに指示する、Dellが公開した修正措置または回避策

Dellはあらゆる努力を払い、商取引上合理的な最短の時間で修復または対応処置を提供します。対応に要する時間は、以下のようなさまざまな要因に左右されます。

  • 脆弱性の重大度
  • 脆弱性の複雑さ
  • 影響の範囲
  • 修復に要する労力と修復の影響度
  • 製品のライフサイクル

Dellが脆弱性の重大度と影響を評価する方法

Dellは、共通脆弱性評価システム(英語で) スタンダード バージョン3.1 (CVSS v3.1)を使用して、Dell製品の脆弱性の特性を表しています。この標準は、FIRSTによって維持管理されています。

CVSSスコアリングは、脆弱性の重大度を定量化するための数値的手段を提供し、脆弱性を悪用するために必要な労力のレベルや、脆弱性が悪用された場合の潜在的な影響などの複数の要因を考慮します。Dellは、以下に示すスケールに従って、数値スコア、ベクトル文字列、重大度の定性的表現(「重大」、「高」、「中」、「低」のいずれか)を使用して脆弱性の影響評価を要約します。

重大度

CVSS v3.1スコア

重大

9.0~10

7.0~8.9

4.0~6.9

0.1~3.9

Dellでは、すべてのお客様が、お客様の環境に関連する環境メトリックの計算の根拠となるこれらの情報を活用して、お客様の資産またはDell製品の実装に固有のリスクを正確に評価するようお勧めします。

Dellの脆弱性の評価、CVSSスコア、ベクトル文字列は、他のソースによって提供されるものと異なる場合がありますのでご注意ください。不一致が生じた場合、Dellは、Dellセキュリティ アドバイザリーに含まれている情報を信頼できる情報源として使用します。

外部とのコミュニケーション

Dellは、当社の製品に影響を与えるセキュリティの脆弱性についてお客様に知らせるために、セキュリティ アドバイザリー、通知、情報記事を公開しています。

Dellが分析を行って解決策を特定すると、お客様が自分自身を保護する方法と脆弱性を軽減および/または修復する方法に関するガイダンスまたは手順を提供するセキュリティ アドバイザリーがリリースされます。

セキュリティ アドバイザリーでは、脆弱性の影響を評価し、影響を受ける可能性がある製品を修復するための十分な詳細情報を提供します。ただし、悪意のある攻撃者が、お客様に損害を与える目的で提供された情報を悪用できないようにするため、情報が過度に詳細にならないように調整しています。

Dellのセキュリティ アドバイザリーには、通常、必要に応じて次の情報が含まれます。

  • 全体的な影響度。これは重要度を示す単語(「重要」、「高」、「中」、「低」)で表され、特定されたすべての脆弱性の中で最も高いCVSS Base Scoreに対応するCVSS Severity Qualitative Severity Rating Scaleに基づいて計算されます。
  • 影響を受ける製品とバージョン。
  • 特定されたすべての脆弱性に対するCVSS Base ScoreとVector。
  • 特定されたすべての脆弱性に対する共通脆弱性識別子(英語で)(CVE)。これにより、個々の固有の脆弱性に関する情報をさまざまな脆弱性管理機能(脆弱性のスキャナー、リポジトリー、サービスなどのツール)で共有できるようになります。
  • 脆弱性の簡単な説明と、悪用された場合にもたらされる潜在的影響。
  • 修復の詳細とアップデート/回避策の情報。
  • 脆弱性カテゴリー情報:
    • 独自仕様のコード:Dellによって開発されたハードウェア、ソフトウェア、またはファームウェア。
    • サード パーティー製コンポーネント:パッケージ化されて自由に配布されるか、Dell製品に組み込まれているハードウェア、ソフトウェア、またはファームウェア。
  • その他の参考情報(該当する場合)。

Dellは、一般に知られているセキュリティの脆弱性を追認し、追加情報がいつ(またはどこで)利用可能になるかに関する声明またはその他のガイダンスを提供するため、個々の状況に応じてセキュリティ通知を発行する場合があります。

Dellは、セキュリティ関連の情報記事を公開して、次のようなセキュリティ関連のトピックに関する情報を共有する場合があります。

  • 新しく導入されたセキュリティ強化機能。
  • 製品固有のセキュリティ構成ガイドとベスト プラクティス。
  • 脆弱性スキャン ツールによって識別されたものの、指定された製品内からは悪用できないサード パーティー製コンポーネントのセキュリティの脆弱性。
  • 特定のセキュリティ アップデートを適用するためのインストール手順。
  • Dell製品に影響を与える可能性がある、非Dell製品の必要条件および前提条件におけるセキュリティ アップデートの影響に関する情報。

Dellのセキュリティ アドバイザリーおよび注意は、www.dell.com/support/security(英語で)でご覧いただけます。情報記事は、このリンクで認証を受けるとご覧いただけます。

セキュリティの脆弱性を報告する方法

Dell製品にセキュリティの脆弱性が見つかった場合は、できるだけ早急にその問題のご報告をお願いいたします。潜在的な脅威を取り除くには、セキュリティの脆弱性をタイムリーに見つけて報告することが不可欠です。セキュリティ分野の研究者は、Dell Bugcrowdサイト(英語で)を介して製品の脆弱性レポートを提出する必要があります。  エンタープライズ向け製品や法人向け製品のお客様およびパートナー様が、お使いのDell製品でセキュリティの問題を発見された場合、該当するテクニカル サポート チームにご報告をお願いいたします。テクニカル サポート チームは、適切な製品チームおよびDell PSIRTと連携し、報告された問題に対処してお客様に対応策を提供します。

テクニカル サポートにアクセスできない、またはバグ報奨金プログラムを利用したくない業界グループ、ベンダー、その他のユーザー様は、脆弱性レポートをEメールでDell PSIRTに直接送信できます。機密情報を送信する場合は、PGPとDell PSIRT PGPキーを使用してEメール メッセージと添付ファイルを暗号化する必要があります。Dell PSIRT PGPキーはこちらからダウンロードできます。Dellは、事情の許す限り速やかに、お客様の脆弱性開示レポートを承認します。

いずれの場合も、Dellは受領後3営業日以内にお客様の脆弱性開示レポートに同意し、30暦日以内の頻度で修復に関する最新情報を提供するよう努めます。

潜在する脆弱性の性質と範囲をより深く理解するために、次の情報をできるだけ詳しく記載するようにしてください。

  • 疑わしい弱点/脆弱性を含む製品の名前とバージョン。
  • 問題が再現された環境またはシステムに関する情報(製品のモデル番号、オペレーティング システムのバージョン、その他の関連情報など)。
  • 共通脆弱性タイプ一覧(CWE)と脆弱性のタイプおよび/またはクラス(クロスサイト スクリプティング、バッファー オーバーフロー、サービス拒否、リモート コード実行など)。
  • 脆弱性を再現するための詳細な手順。
  • 概念実証コードまたは攻撃コード。
  • 脆弱性がもたらす潜在的な影響。

研究者の行動規範

脆弱性により、機密情報や非公開情報(サード パーティーのデータ、個人データ、またはDellによって内部使用、制限付き、厳しい制限付きとマークされた情報など)へのアクセス権が付与された場合は、Dellに脆弱性を報告するために最小限必要な情報にのみアクセスしてください。Dellに提出する以外に、こうした情報の保存、転送、使用、保持、開示、コピーは行わないでください。

また、所有者の明示的な許可がない限り、Dell製システムの整合性または可用性に影響を与えるアクションは行わないでください。概念実証を取得するために最小限必要なアクションのみを行ってください。調査中にパフォーマンスの低下に気づいた場合、または誤って違反や障害(顧客データやサービス構成へのアクセスなど)が発生した場合は、自動化ツールの使用を停止し、インシデントを直ちに報告してください。セキュリティの調査がこのポリシーに合致しているかどうかに関して懸念事項や不確かな点がある場合はいつでも、先に進む前にsecure@dell.comにお問い合わせください。

その他のセキュリティ上の問題をDellに通知する場合

その他のタイプのセキュリティ問題をDellに報告するには、以下に記載されている適切な連絡先を使用してください。

セキュリティの問題

連絡先情報

Dell.comやその他のオンライン サービス、Webアプリケーション、プロパティなどにおけるセキュリティの脆弱性や問題を報告する場合。

問題を再現するための詳細な手順を記載したレポートを、https://bugcrowd.com/dell-com(英語で)までお送りください。

Dell Financial Servicesに関連して、個人情報漏洩への懸念をお持ちの場合や詐欺被害に遭われた場合。

Dell Financial Servicesのセキュリティ(英語で)をご覧ください。

プライバシー関連のリクエストや質問を送る場合。

Dellのプライバシー ステートメント(英語で)をご覧ください。

制限事項

Dellは、セキュリティ アドバイザリーと関連ドキュメント(リリース ノート、ナレッジベース記事、FAQ(よくある質問)など)で脆弱性の修復作業に関する情報を提供することで、できる限り透明性を確保するよう努めています。  Dellは、特定された脆弱性に対する検証済みの攻撃コードまたは概念実証コードを共有しません。また、業界の慣行に従って、社内のセキュリティ テストから得られたテスト結果や概念実証、またはその他の種類の部外秘情報を、外部の組織と共有することはありません。

お客様の権利:保証、サポート、メンテナンス

保証、サポート、メンテナンスに関するDellのお客様の権利は、Dellと個々のお客様との間の該当する契約によってのみ管理されます(Dell製ソフトウェア製品の脆弱性を含む)。このWebページに記載されている内容によって、お客様の権利に変更、拡張、または改正が生じることや、その他の保証が新たに発生することはありません。

免責事項

この脆弱性対応ポリシーのすべての内容は、予告なしに変更される場合があります。すべての具体的な問題または問題のクラスについて対応が保証されているわけではありません。本文書または本文書でリンクされている資料に記載されている情報の使用は、お客様自身の責任において行ってください。

その他のリソース

お客様は、機密保持の要件に従い、Dellの安全なサポート ポータルを介して、サポート対象のDell製品のソフトウェア部品表(SBOM)にアクセスできます。