脆弱性の協調的開示に関する方針
最終更新日:2024年11月6日
目的
本ポリシーの目的は、セキュリティ研究者が脆弱性を報告するための体系的なプロセスを提供し、迅速な評価と是正措置を確保するとともに、セキュリティコミュニティとの協力的な関係を促進することです。当社は、医療機器のセキュリティを強化し、患者の安全を守ることを目指しています。
適用範囲
本ポリシーは、ATECが開発、製造、保守を行っているすべての医療機器に適用されます。対象は、当社製品のソフトウェア、ハードウェア、ファームウェアに関する脆弱性です。
責任
情報セキュリティ担当:報告された脆弱性を受理・確認し、必要に応じて対応する個人またはグループ。
報告先メールアドレス:vulnreport@atecspine.com
ポリシー
はじめに
ATECは、自社の医療機器のセキュリティと安全性の確保に全力を尽くしています。脆弱性の特定および対処において、セキュリティ研究者との協力の重要性を認識しており、本「脆弱性の協調的開示に関するポリシー」は、FDAガイダンスおよび関連する基準に則り、脆弱性の受理、対応、開示に関する当社の方針を定めています。
脆弱性の報告方法
報告先
セキュリティ研究者の皆様は、以下のメールアドレス宛に脆弱性をご報告ください:
vulnreport@atecspine.com
記載いただきたい情報
- 脆弱性の内容の説明
- 影響を受ける製品名とバージョン
- 再現手順
- 脆弱性による影響の可能性
- 対応策に関するご提案(あれば)
- ご連絡先情報(フォローアップのため)
受付および対応について
- 報告を受領後、3営業日以内に受付のご連絡を差し上げます。
- セキュリティチームは、10営業日以内に初期評価を行います。
脆弱性の対応および是正措置
- トリアージおよび検証:セキュリティチームが報告された脆弱性を分類し、正当性を確認します。必要に応じて、追加情報をお願いすることがあります。
- リスク評価:確認された脆弱性は、患者の安全性や製品性能への影響を評価するため、リスク評価を行います。
- 是正計画の策定:リスク評価に基づき、パッチの開発、緩和策の導入、製品の更新など、是正措置を策定します。
- 解決および開示:是正措置完了後、報告者に結果を通知し、必要に応じて、脆弱性および対応内容を公表します。
セーフハーバー
ATECは、セキュリティ研究者の貢献を重視し、協力的な環境づくりに努めています。
本ポリシーを遵守し、誠実な姿勢で行動する研究者に対して、ATECは法的措置を講じません。
研究者の皆様には、以下の点をお願いしております:
- プライバシーの侵害、データの破壊、サービスの妨害を行わないこと
- 脆弱性の公表前に、当社に是正措置を講じる合理的な期間を与えること
規制要件の遵守
本ポリシーは、医療機器のサイバーセキュリティに関するFDAの市販後ガイダンスに準拠しており、ANSI AAMI SW96などの関連基準にも対応しています。
ATECは、規制要件の変化に対応するため、本開示プロセスの継続的な改善と定期的な見直しを行ってまいります。
お問い合わせ
本ポリシーに関するご質問やご不明な点は、下記メールアドレスまでご連絡ください:
vulnreport@atecspine.com