サポート Product Security

サポート

Western Digital脆弱性開示ポリシー

1. はじめに

Western Digital PSIRT(Product Security Incident Response Team:製品セキュリティインシデント対応チーム)の重要な目標は、Western Digital製品のエンドユーザーのセキュリティを保護することです。Western Digital脆弱性開示ポリシーでは、セキュリティ研究者と一般ユーザーの意見を取り入れることを奨励し、誠意ある行動と責任ある脆弱性の調査と開示への取り組みを旨としています。脆弱性、公開データ、その他のセキュリティに関する問題があると思われる場合は、ご連絡ください。本ポリシーは、脆弱性を報告するための手順の概要を示し、潜在的な脆弱性の発見と報告という観点からWestern Digitalの誠実さの定義を明確にし、研究者へのWestern Digitalの支援について説明します。

2. 定義

  1. 秘密保持期間: 脆弱性の報告を受領した場合、当社の目標は、最初の確認から90日以内に修復作業を完了し、修正をリリースすることです。脆弱性を確認するために追加情報が必要な場合は、ご連絡いたします。3回ご連絡してもご返信がない場合はケースをクローズすることがありますが、その後のご連絡もお待ちしております。
  2. セキュリティ報告: 当社のセキュリティ報告は以下に投稿しています。
    https://www.westerndigital.com/support/productsecurity
  3. 脆弱性報告者:脆弱性の報告を開示する個人、組織、または限定されたグループ。
  4. 当社: 本ポリシーでは、「当社」はすべてのWestern Digitalを意味し、Western Digital、WD、サンディスク、SanDisk Professional、HGST、G-Technologyを含む当社のブランドを対象としています。
  5. 公式レポートチャネル:脆弱性の開示について通信するための通信チャネル:PSIRT@wdc.com
  6. 最初の確認: これはPSIRTへの報告を受領した後、ケース番号と90日間の開示日を付与して返信した日付です。

3. 脆弱性の報告手順

Western Digitalの製品またはサービスで見つかったセキュリティの問題を報告するには、その詳細を公式レポートチャネルに電子メールにて送信してください。他の電子メールアドレスにメッセージを送信すると、返信が遅れる場合があります。
可能な場合は、次の項目をお送りください。

  • 影響を受ける特定の製品またはサービス(関連するバージョン番号を含む)
  • 問題の影響に関する詳細
  • 可能な場合は、概念実証(PoC)を含む、問題の再現または診断に役立つ可能性のある情報
  • この脆弱性がすでに一般に公開されているか、第三者に通知されていると思われるかどうか 詳細を送信する前に、Western DigitalのPGP/GPGキーを使用して情報を暗号化してください。

詳細を送信する前に、Western DigitalのPGP/GPGキーを使用して情報を暗号化してください。

4. マルチパーティの調整による脆弱性の開示

マルチパーティの脆弱性の調整と開示に関するFIRSTのガイドラインと慣行に従います。マルチパーティの脆弱性を報告したいが、プロセスの進行やマルチパーティの脆弱性の調整に関する支援を希望する研究者は、当社にご連絡ください。脆弱性の受領を確認した場合、当社はガイダンスを提供し、コーディネーターとしての役割を果たす場合があります。

5. 製品とサービスの範囲

すべての製品は、以下の製品ファミリーを含み、現行の限定的な更新フェーズにあります。すべてのWebページとクラウドサービスに関する脆弱性の報告も受け付けております。生産終了製品およびサービスは、この脆弱性開示ポリシーの対象ではありません。以下は現在、対象範囲にある製品のリストです。

  • ネットワーク接続ストレージ:WD Cloud Home、WD Cloud、ibiパーソナルモバイルストレージ:My Passport WirelessおよびiXpand
  • プロフェッショナルストレージ:G-DRIVE、G-RAID
  • WD BLACK
  • 外付けストレージ:My Book、My Passport、WD EasyStore、WD Elements
  • 内蔵ドライブ、SSD、組み込みフラッシュ
  • デスクトップおよびモバイルアプリケーション:EdgeRoverおよびサンディスク メモリーゾーン
  • USBフラッシュドライブ
  • ポータブルドライブ 
  • メモリーカード


製品サポートのライフサイクルの詳細については、以下を参照してください。
サンディスク:https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology:https://support.g-technology.com/downloads.aspx?lang=en
WD製品: https://www.westerndigital.com/ja-jp/support/software/software-life-cycle-policy

6. Western Digitalの確約事項

当社にご協力いただく場合、本ポリシーに基づき、以下の点にご留意ください。

  • 当社は現在、確立したバグバウンティプログラムの提供または登録を行っていません。セキュリティ報告の発行プロセス以外での報奨金の支払い、販促資料、与信の要求は受け付けていません。
  • 脆弱性の報告は、受領後3営業日以内に最初の確認が行われ、追跡番号が付与されます。
  • 最初の確認から30日以内に脆弱性の受領の確認を送信します。この確認では修正期限が提示されます。報告が受領されない場合は、理由を説明し、報告に関する新しい情報を引き続き受け付けます。
  • 報告された脆弱性が確認され次第、当社のエンジニアが適切な修正プログラムの開発に取り組みます。
  • この90日の期間内に脆弱性を解決できない場合があります。通常の秘密保持期間よりも長くかかる場合は、秘密保持期間を延長するか、そうでない場合は通知いたします。解決は以下により異なる場合があります。
    • 当社とは異なる解決期間が設定された上流ベンダー。
    • 脆弱性に対処するために必要な大幅なアーキテクチャの変更。
    • ハードディスクドライブやSSDファームウェアの脆弱性など、低レベルのファームウェア変更に起因する複雑な、または広範囲な検証要件。
  • 当社はお客様や一般の方にセキュリティ情報を提供するために、独自の裁量でセキュリティ報告を発行しています。次の場合は、関連するセキュリティ報告およびCVEで脆弱性を発見し報告したことを通知します。
    • 報告された脆弱性が現在サポートされているWestern Digital製品に影響を及ぼす
    • 当社が問題に基づいてコードまたは構成を変更する
    • 問題の最初の報告者である
    • 報告者の研究が本ポリシーに従って行われている
    • 報告者が一般に通知することに同意している

7. 当社からのお願い

脆弱性開示プログラムに誠意を持って参加いただくにあたり、以下のことをお願いいたします。

  • 本ポリシーおよびその他の関連する契約に従うことを含め、ルールに従ってください。本ポリシーと他の該当する条件との間に矛盾がある場合は、本ポリシーの条件が優先されます。
  • 発見した脆弱性をすぐにご報告ください。
  • セキュリティテスト中のプライバシーの侵害、ユーザーエクスペリエンスの低下、本番システムの中断、データの破損がないように取り組んでください。特に以下についてご注意ください。
    • サービス運用妨害などの破壊的なテストを行うなど、ユーザー、システム、またはアプリケーションに潜在的に、または実際の損害を与えないようにしてください。
    • 脆弱性を悪用して不正なデータを表示したり、データを破壊したりしないでください。
    • 個人、財産、データセンター、パートナー、関連会社を標的とする攻撃を行わないでください。
    • ソーシャルエンジニアリングを試みたり、当社の資産を利用するために当社の従業員、請負業者、または関連会社に所属や承認を偽って伝えたりしないでください。
    • 脆弱性を発見するために、法律に違反したり契約に違反したりしないでください。
  • 上記の「製品とサービスの範囲」で定義されている製品の範囲内でのみ調査を行ってください。
  • セキュリティの脆弱性の当社へのご連絡は、脆弱性の報告プロセスのみを使用してください。
  • 問題が解決され、セキュリティ報告が掲載されるまで、発見した脆弱性に関する情報の秘密を保持してください。秘密保持期間外に情報を開示しないでください。
  • 脆弱性によってデータに意図せずアクセスする場合、以下を行ってください。
    • アクセスするデータの量を概念実証を効果的に行うために必要な最小限に制限します。
    • 個人識別情報(PII)、個人医療情報(PHI)、クレジットカードデータ、機密情報などのユーザーデータが見つかった場合は、テストを中止し、すぐに報告を送信してください。
  • 所有しているテストアカウント、またはアカウント所有者から明示的な許可を得ているアカウントとのみやり取りしてください。

8. 免責事項

脆弱性開示ポリシーは随時更新される場合があります。脆弱性の報告を送信する前に、本ポリシーをご確認ください。開示は最初の確認時に公開されていた本ポリシーのバージョンに準拠します。

9. 変更履歴

発行日:2021-10-15
バージョン:1.1

10. 参考文献

本ポリシーはISOドキュメント29147および30111に示されているガイドラインに基づいています。
discover.ioが提供しているCreative Commons CC-0の概要とテキストを本ポリシー作成の参考にしました。