Sungrow製品セキュリティインシデント対応チーム(PSIRT)について Sungrow PSIRT(Product Security Incident Response Team)は、Sungrow製品に関するセキュリティ上の脆弱性に対して、その受付、調査、ならびに情報公開を専門的に担う組織です。Sungrowは、脆弱性を「攻撃者によって意図的に悪用された場合に、製品の完全性、可用性、または機密性に影響を及ぼす可能性のあるセキュリティ上の脆弱性」と定義しています。 脆弱性は、いわゆる品質上の欠陥とは本質的に異なります。品質上の欠陥とは、攻撃者による意図的な操作を伴うことなく、通常の使用条件下において、特定の状況が重なった際に顕在化する不具合を指します。 これに対し、脆弱性は、外部からの不正な働きかけ(攻撃)によって初めて表面化し、セキュリティに深刻な影響を及ぼす可能性がある問題です。
Sungrow PSIRTの取り組みと誓約:
Sungrowは、セキュリティ管理および開発プロセスに関して、国際規格IEC 62443-4-1に準拠した体制を構築・運用しております。 当社は、製品およびサービスに内在する脆弱性によって生じ得るお客様への影響やセキュリティ上のリスクを最小化、もしくは排除すべく、必要な対策を講じてまいります。 脆弱性が確認された場合には、迅速に適切なリスク緩和策をお客様に提供し、影響の軽減を図ります。 また、脆弱性管理に関する責任および要件(適用される法令・規制、契約上の義務、ならびに関連する業界標準)を明確化し、組織としての継続的かつ積極的な管理体制を整備しております。 さらに、当社は業界における標準およびベストプラクティスを積極的に取り入れ、脆弱性管理プロセスの成熟度向上に努めております。
脆弱性の報告について
Sungrowは、責任ある脆弱性の開示およびその適切な取り扱いに係るプロセスを支持しており、セキュリティ研究者、業界団体、お客様、ならびにサプライヤーの皆様による脆弱性のご報告を積極的に奨励しております。脆弱性を発見された場合には、
下記の情報を添えて、Sungrow PSIRT( psirt@sungrowpower.com)宛てにご連絡くださいますようお願い申し上げます。
・脆弱性の詳細な内容
・対象となる製品型式
・ソフトウェアのバージョン
・ご連絡先
原則として、受領後1営業日以内に受付確認のご連絡を差し上げ、7営業日以内には当該報告内容の検証結果をご報告いたします。その後も、脆弱性への対応状況について、適宜進捗をご報告させていただきます。当社製品はグローバルに展開されているため、報告内容の開示は原則として英語での対応となりますので、あらかじめご了承ください。 なお、脆弱性対応プロセスの全期間を通じ、Sungrow PSIRTは取得した情報を関係者のみに限定して共有し、厳重な管理のもと取り扱います。お客様および関係者の皆様におかれましても、完全な対策が講じられるまでの間は、当該情報の外部開示をお控えいただきますようお願い申し上げます。
また、法令に基づく場合またはお客様からの正式な要請がある場合を除き、取得した情報を第三者に提供することはございません。当社は、関連する法的要件を遵守の上、適切かつ合理的な手段により情報保護に万全を期してまいります。
脆弱性対応プロセス 疑義のある脆弱性が報告された場合、Sungrow PSIRTは関連する製品担当チームと緊密に連携し、以下の手順に基づき対応を実施いたします。
1. 分析および検証:報告された内容について詳細な確認を行い、当該脆弱性の実在性および技術的妥当性を評価します。
2. 影響評価:脆弱性が製品に及ぼす実際の影響に基づき、その深刻度を判定します。
3. 対応優先度の決定:評価結果に基づき、対応の優先順位を決定します。
4. 対策の策定:以下を含む是正措置を開発・提示します。
・リスク緩和策の提示
・修正パッチやソフトウェアバージョンの更新
・お客様による実施が可能な暫定的リスク対処手段の提供
また、製品の開発・提供・導入プロセスにおいて、Sungrow以外のサプライヤーが提供する製品またはサービスに脆弱性が認められた場合には、当該サプライヤーに対し速やかに連絡を行い、是正措置の実施を求めます。