セキュリティについて

脆弱性開示ポリシー

  1. 1. 

    ポリシーの目的 大阪ガス株式会社(以下、「当社」といいます。)では、自社製品の安全性・信頼性向上のため、外部からのセキュリティ脆弱性報告を受け付け、迅速かつ誠実に対応する体制を整備しています。本ポリシーは、善意の研究者・利用者が安心して脆弱性を報告できる窓口とルールを明示し、報告者・利用者・関係者との信頼関係を構築することを目的とします。

  2. 2. 

    適用範囲 本ポリシーは、当社の製品(※)に適用されます。

    • 138-N450, 138-N451, 138-N452, 138-N453, 138-N454, 138-N461, 138-N462,
      138-R441, 138-R442, 138-R451, 138-R452
  3. 3. 

    脆弱性報告の受付 当社の製品に関する脆弱性を発見されましたら、以下の「お問い合わせフォーム」までご連絡ください。フォームの入力方法は、以下の「入力ガイド」をご確認ください。
    ご入力いただいた報告内容につきましては、当社のプライバシーポリシーに従って管理いたします。

    なお、お問い合わせフォームで受け付ける脆弱性の情報は、当社の製品に関する未公開のものに限ります。当社以外の製品につきましては、各製造元までご連絡いただけますようお願いいたします。
    連絡フォームはSSL/TLSによって暗号化されております。受付フォームからご連絡いただいた後のご報告者様とのコミュニケーションは電子メールにて行います。

  4. 4. 

    脆弱性の評価と対応 当社は、報告された脆弱性について、各製品の開発担当部門が脆弱性の影響範囲を評価します。
    以下の4点が確認された場合には、新規の脆弱性であると判断します。
    なお、確認にあたり、必要に応じて追加の情報提供をお願いする場合があります。

    • 脆弱性関連情報に該当すること
    • 情報セキュリティ早期警戒パートナーシップガイドラインの適用範囲内であること
    • 脆弱性による影響が大きいこと
    • 脆弱性関連情報が既知でなく、未公開であること

    新規の脆弱性が判明した場合は、製品の開発部門と協議の上対応策を策定します。
    必要に応じて修正パッチや回避策、および、情報公開の準備をし、対象製品のユーザーへファームウェアアップデート等の対策内容を提供します。

  5. 5. 

    対応状況の連絡 ご連絡いただいた脆弱性情報は、当該製品の設計開発部門にて再現確認・影響度評価を実施のうえ、結果を報告者へご連絡します。長期化する場合も、状況説明と今後の見通しを適宜共有します。報告が「新規の脆弱性」に該当しない場合(OSS由来/再現不可/既知対策中等)はその旨説明し対応終了とする場合があります。

  6. 6. 

    脆弱性情報の公開 当社は、脆弱性に関する情報を慎重に取り扱い、公開日一致の原則に従って調整機関(JPCERT/CC)と連携し取り決めた日程にて情報公開を行います。
    適切なタイミングで脆弱性情報を当社HPやJVN(Japan Vulnerability Notes)などを通じて公開します。
    原則としてご報告者様、調整機関、当該製品開発者以外の第三者へ公開前の脆弱性に関する情報を開示いたしません。

  7. 7. 

    免責事項 善意の報告者に対しては、法的措置を取らないセーフハーバー方針を採用します。第三者ソフトウェアの脆弱性については、各提供元と連携して対応します。

  8. 8. 

    謝辞 当社の製品の脆弱性発見または解決に貢献いただいた方に対しては、同意のうえで公表時に謝辞を掲載します。

  9. 9. 

    注意事項 報告者は、発見した脆弱性に関する情報を、当社による公表前に、当社の許可なく当社以外の第三者へ開示しないでください。また、発見した脆弱性に関する情報が第三者へ漏洩しないよう適切に管理してください。また、報告者は、報告に対する当社からの回答内容の一部または全部を第三者へ開示しないでください。

お知らせ

お客さまサポート

ご相談・お問い合わせ

お電話でのご相談・お申込み

大阪ガスグッドライフコール

グッドライフコールについて

窓口での相談・お申込み