潜在的なセキュリティの脆弱性を報告する

はじめに

ノートンLifeLock は、ノートンLifeLock 製品のセキュリティ脆弱性を迅速かつ責任をもって解消すべく全力で取り組んでいます。 お客様への危険を最小限にとどめ、情報を適時に提供して、ノートンLifeLock 製品のセキュリティ脅威に対処するための脆弱性修正プログラムや緩和策を配信するために必要な体制を適切に整備しています。

ノートンLifeLock は、ノートンLifeLock 製品に関して外部から報告された脆弱性について、OIS によって開発され、ISO 29417 で説明されている責任ある開示のガイドラインに従うことを約束します。 このガイドラインでは、研究者とベンダーの間にオープンなコミュニケーションを築き、両者の責任範囲を明確にして、個人、企業、インターネットインフラを攻撃からできる限り守ることが奨励されています。 ノートンLifeLock は、脆弱性を私たちに伝える研究者と緊密に連携しています。

セキュリティ脆弱性の報告方法

ノートンLifeLock 製品またはサービスに影響を与えるセキュリティの脆弱性を報告するには、security@nortonlifelock.com にメールを送信してください。

迅速な確認作業ができるようにするため、初回連絡時に以下の情報をお伝えください。

  • 製品名、バージョン番号、サービス名または URL
  • 脆弱性の観測日
  • 脆弱性の説明
  • 脆弱性の場所 (例: URL、ドメインなど)
  • 脆弱性の再現手順 (文章による説明、再現動画、または再現方法を示す一連のスクリーンショットなど)
  • 発見者様のお名前と所属組織 (組織に所属されている場合)
  • 連絡先情報

ノートンLifeLock PSIRT は、報告の受領確認のご連絡を 3 営業日以内にお送りします。その後、社内チームと検証を行い、対応状況のご報告や追加情報のお願いを適時にご連絡いたします。

問題の修正策と緩和策

提出された脆弱性が有効であることが確認された場合、ノートンLifeLock は、問題の種類、重大度、影響に応じて、問題の修正または緩和を行います。

追加情報と責任ある情報開示

脆弱性の確認作業において、他社製品の脆弱性が見つかる場合があります。その際にノートンLifeLock は、該当するベンダーが脆弱性の解消に向けた行動をとることに向けて、責任ある情報開示のガイドラインに従った行動をとります。ノートンLifeLock は、セキュリティ研究コミュニティにおいて協力的で信頼できるメンバーでありたいと考えています。 研究者の皆様のご尽力には大変感謝しております。そのご厚意にお応えすべく、ノートンLifeLock は今後も広範なセキュリティ研究コミュニティのメンバーとのオープンなコミュニケーションを促進し、さまざまな技術分野で活躍する皆様が専門的な協力作業を進められる環境の構築を目指します。

click to top

Back to Top