開示ポリシー

責任ある開示ポリシー

Yaleは当社の製品およびサービスの品質を向上させるために、脆弱性の開示が不可欠であると考えています。 Yale はセキュリティ リサーチ コミュニティの洞察力を重視し、開示とコラボレーションを歓迎します。

責任ある開示プロセスを通じて、Yaleはセキュリティ研究者やその他の脆弱性の調査員と協力して、正当性と完全性を備えた脆弱性を非公開で報告するメカニズムを提供することにより、製品とサービスをより安全にします。 責任ある開示により、セキュリティのインフラがテストされ、信頼できることが証明されます。 このプロセスにより、研究者と協力して、絶え間なく変化するセキュリティ環境で脆弱性を迅速に特定して軽減することが出来ます。

以下は Yale の責任ある開示ポリシーです。

• Yaleは当社製品のエンド ユーザーを保護する方法で、既知の脆弱性とその修正をお客様に開示します。 開示には別段の要求がない限り、脆弱性を最初に特定した人物には功績を認めることが含まれます。
• Yaleは脆弱性とソリューションの両方を含め、セキュリティを改善し、情報配信を調整するという共通の関心を持ってセキュリティ研究者とコミュニケーションを取りながら協力しています。
• Yaleには報奨金制度も研究者への金銭的な報酬もありませんが、脆弱性に関する有効な情報を非公開で会社に提供、協力、セキュリティ研究者の仕事を承認し、書面による忠告で公に認めます。 修正またはパッチ開発およびテスト後、公式発表をします。
• セキュリティ研究者はリスクを最小限に抑え、エンドユーザーが自分自身を保護するのを支援することを認めて、 Web サイトに Yale 忠告へのリンクを投稿することが許可されています。

私達はセキュリティ研究者コミュニティに 、Yale と協力し、脆弱性の公開を調整するように依頼します。 Yale に最初に通知せず、時期尚早に脆弱性を公開するとエンドユーザーの安全性を損ない、機密情報を公開し、人々や組織への悪意攻撃の危険にさらす可能性があります。

そのため、ASSA ABLOY は 2 段階のプロセスを強く推奨します。最初にASSA ABLOYに、潜在的な脆弱性を非公開で開示します。 脆弱性が検証され解決されると、Yaleはセキュリティ研究者の発見を含む公開開示を調整し、適切な人物に承認が与えられていることを確認します。

研究者には報告された脆弱性を調査、検証、修復するための当社の行動が複雑さと重大度に基づいて変化する認識を持たせています。 予想されるタイムラインや変更を連絡し、可能な場合は協力します。 さらに研究者がサービス拒否ツールを利用したり、テストや評価の実行中にYaleのユーザー インフラや個人情報を侵害しない要求をしています。 このようなテストが必要である場合、非生産環境でテスト可能な製品を提供できるよう、当社に連絡するように要請します。

他の大手企業と同様、Yaleはセキュリティ エコシステムを保護するために、脆弱性の協調的な開示に関する業界の最善の処置を適用し、顧客が最高品質の情報を入手できるようにし、製品、プロトコル、方法、標準、およびソリューションを改善する方法について公の議論を促進します。

責任ある開示プログラムの一環として、Yale は、脆弱性を一般に開示するための調整された共有責任アプローチを順守するセキュリティ研究者との関係を求めています。 Yale は、セキュリティ研究者やその他の脆弱性の調査員に、この取組みへの参加を呼びかけています。

活動の呼び掛け

脆弱性を発見したと思われる場合は、このASSA ABLOYセキュリティ リソース センターの「レポート ガイドライン」ページを参照して、調査結果を ASSA ABLOY セキュリティ レスポンス チームに非公開で送信する方法を確認して下さい。または productsecurity@assaabloy.com に直接お問い合わせください。