Takeda logo

協調的な脆弱性の開示プロセス | 武田薬品

協調的な脆弱性の開示プロセス

タケダは、意思決定において信頼を重視しながら、革新的な医薬品を通じて世界中の人々の健康に貢献することを目指しています。サイバーセキュリティは、命を守り、生活の向上を目指すタケダの製品とサービスの安全性にとって極めて重要です。タケダは、サイバーセキュリティの脅威を特定し対処するために、報告プロセスへのサイバーセキュリティ研究者による協力を積極的に受け入れ、連携しています。このプロセスは、セキュリティと透明性に対するタケダの取り組みに沿ったもので、誠実に脆弱性を開示するサイバーセキュリティ研究者を支援します。サイバーセキュリティ研究者が自主的に脆弱性を報告する方法は以下のとおりです。

スコープ

本プロセスは、タケダのITシステム、製品およびサービスにおける脆弱性の取扱いのアプローチを概説するものです。本プロセスは、ウェブサイト、アプリケーション、その他のオンラインサービスを含む、タケダが所有または運営するすべてのデジタル資産に適用されます。本プロセスは、ISO/IEC 29147やISO/IEC 30111などの国際標準、ならびにコンピュータ詐欺・不正利用防止法(Computer Fraud and Abuse Act:CFAA)、デジタルミレニアム著作権法(Digital Millennium Copyright Act:DMCA)、サイバー犯罪に関するブダペスト条約(Budapest Convention on Cybercrime)、 米国国立標準技術研究所(NIST) Special Publication 800-61、EUネットワーク・情報システム(Network and Information Systems:NIS)指令、サイバーセキュリティ情報共有法(Cybersecurity Information Sharing Act:CISA)、一般データ保護規則(General Data Protection Regulation:GDPR)などの米国およびEUの関連法規に準拠するよう設計されています。

サイバーセキュリティ研究者の皆様へ

タケダは、脆弱性を特定し報告するサイバーセキュリティ研究者の貢献に感謝しています。これは、システムのセキュリティと信頼性の向上に役立っています。本文書では、タケダへの脆弱性の報告方法と、その過程で想定される事項についてのガイドラインを示します。

報告方法

脆弱性を報告するには、[email protected] 宛てに、以下の情報を電子メールで送信してください:

  • 判断の経緯と説明: 問題の種類(例:クロスサイト・スクリプティング、SQL インジェクション)および潜在的な影響を含む、脆弱性の明確かつ詳細な説明。
  • 再現手順: 関連する URL、パラメータ、スクリーンショットを含む、脆弱性を再現するための詳細な手順。
  • 発見日: 脆弱性が発見された日時。
  • 深刻度と影響範囲評価: 危険にさらされる可能性のあるデータを含む、脆弱性により起こりうる影響の評価結果。
  • 技術的な詳細: 問題の理解と対処に役立つ可能性のある技術的な詳細(コード・スニペット、ログなど)。
  • 今後の連絡先情報: フォローアップのための連絡先情報(電子メールアドレス、電話番号)。 ※電子メールアドレス、電話番号を含め、報告いただいた内容は報告者に追加情報の確認が必要な場合のみに利用します。また、追加情報の確認が不要また追加情報の確認完了後報告いただいた内容は速やかに削除します。

サイバーセキュリティ研究者の皆様へのお願い

円滑かつ効果的な開示プロセスのため、皆様に以下の事項をお願いします。

  • 誠実さ: 誠実に行動し、タケダや顧客またはパートナーを害するおそれのある行為を 避ける。
  • データの完全性: 自分のものでないデータへのアクセス、変更、削除を行わない。
  • 倫理的行動: ソーシャルエンジニアリング、フィッシングその他の悪意のある手法を使用して、タケダのシステムにアクセスしない。
  • 守秘義務: タケダが脆弱性に対処する適切な機会を得るまで、脆弱性を公にしない。
  • 法令遵守: 米国のCFAA、DMCA、EUのサイバー犯罪に関するブダペスト条約、NIST Special Publication 800-61、NIS指令、CISA、GDPRを含むがこれらに限定されない、適用されるすべての法律および規制の遵守。
  • 比例性: 比例性の原則を遵守すること。つまり、セキュリティ問題を実証するために厳密に必要な範囲を超えて脆弱性を悪用しない。

タケダの対応

脆弱性の報告をうけ、タケダは以下を行います:

  • 確認: 4営業日以内に電子メールでの報告内容を確認。
  • 更新: 調査および修復作業の状況に関するアップデート。
  • タイムリーな解決: タイムリーかつ責任ある方法での脆弱性への対処。
  • 法的保証: 本プロセスを遵守し、誠実に行動するサイバーセキュリティ研究者に対して、タケダが法的措置を追求しないという保証。

法的セーフハーバー

タケダは、善意のサイバーセキュリティ研究者 を法的リスクから守るために取り組みます。サイバーセキュリティ研究者の研究および開示活動が本プロセスに合致している場合、タケダはその活動を承認されたものとみなし、サイバーセキュリティ研究者に対して法的措置を開始することはありません。

  • ガイダンス: 脆弱性の報告に関するさらなるガイドラインについては、脆弱性の開示および取扱いプロセスに関する重要なインサイトを提供するISO/IEC 30111:2019およびISO/IEC 29147:2018を参照してください。

注意事項

以下のことにご注意ください:

  • タケダは、いつでも本プロセスを変更する権利を有します。
  • 本プロセスは、法令に違反する行為を許可するものではありません。
  • 本プロセスに参加することにより、適用されるすべての法令を遵守することに同意するものとします。
  • 本プロセスは、タケダが適用される法令に基づき有する権利を放棄するものではありません。