Western Digital脆弱性開示ポリシー

1. はじめに

Western Digital PSIRT（Product Security Incident Response Team：製品セキュリティインシデント対応チーム）の重要な目標は、Western Digital製品のエンドユーザーのセキュリティを保護することです。Western Digital脆弱性開示ポリシーでは、セキュリティ研究者と一般ユーザーの意見を取り入れることを奨励し、誠意ある行動と責任ある脆弱性の調査と開示への取り組みを旨としています。脆弱性、公開データ、その他のセキュリティに関する問題があると思われる場合は、ご連絡ください。本ポリシーは、脆弱性を報告するための手順の概要を示し、潜在的な脆弱性の発見と報告という観点からWestern Digitalの誠実さの定義を明確にし、研究者へのWestern Digitalの支援について説明します。

2. 定義

1. 当社： 本ポリシーでは、「当社」はWestern Digitalを指し、当社のブランドが対象となります。
2. 脆弱性報告者：脆弱性の報告を開示する個人、組織、または限定されたグループ。
3. 秘密保持期間：脆弱性の報告を受領した場合、当社の目標は、最初の確認から90日以内に修復作業を完了し、修正をリリースすることです。脆弱性を確認するために追加情報が必要な場合は、ご連絡いたします。3回ご連絡してもご返信がない場合はケースをクローズすることがありますが、その後のご連絡もお待ちしております。
4. セキュリティ報告：当社のセキュリティ報告は以下に投稿されます。
   https://www.westerndigital.com/support/productsecurity
5. 公式レポートチャネル：脆弱性の開示について通信するための通信チャネル：PSIRT@wdc.com
6. 最初の確認：これはPSIRTへの報告を受領した後、ケース番号と90日間の開示日を付与して返信した日付です。

3. 脆弱性の報告手順

Western Digitalの製品またはサービスで見つかったセキュリティの問題を報告するには、その詳細を公式レポートチャネルに電子メールにて送信してください。他の電子メールアドレスにメッセージを送信すると、返信が遅れる場合があります。

必要な情報：

• 特定の製品およびバージョン番号。
• サービスの場合は、報告される問題のタイムスタンプを含む特定のサービスおよび/またはURLを記載する。
• 概念実証（PoC）を含む、問題を再現するためのステップ。

推奨：

• 可能な場合、関連するCWEの参照資料を提供する。
• この脆弱性がすでに一般に公開されているか、第三者に通知されていると思われるかどうか

詳細を送信する前に、当社のPGP/GPGキーを使用して情報を暗号化してください。

4. マルチパーティの調整による脆弱性の開示

マルチパーティの脆弱性の調整と開示に関するFIRSTのガイドラインと慣行に従います。

5. 製品とサービスの範囲

当社では、アップデートおよびサポートが終了していないWestern DigitalのHDDベースの製品およびプラットフォーム製品、ならびに関連するクラウドサービスに関するセキュリティ報告を受け付けております。アップデート/サポートが終了している製品およびサービスは、この脆弱性開示ポリシーの対象となりません。

6. 範囲外

製品の脆弱性スキャン

• PSIRTでは、概念実証のない当社のデバイスの脆弱性スキャン報告は受け付けておりません。

Western Digitalのフラッシュベース製品の報告については、サンディスクの脆弱性開示ポリシーをご参照ください。

また、当社のインターネットサイト（westerndigital.com）に関する脆弱性の報告については、websecurity@wdc.comに送信してください。

受け付けているWeb脆弱性：

• OWASP上位10位の脆弱性カテゴリ
• 影響が実証されたその他の脆弱性

受け付けていないWeb脆弱性：

• 理論上の脆弱性
• 秘密データ以外の情報開示
• 脆弱性が悪用される影響/可能性が低い

7. Western Digitalの確約事項

当社にご協力いただく場合、本ポリシーに基づき、以下の点にご留意ください。

• 当社は現在、バグバウンティプログラムの提供または登録を行っていません。セキュリティ報告の発行プロセス以外での報奨金の支払い、販促資料、与信の要求は受け付けていません。
• 脆弱性の報告は、受領後3営業日以内に最初の確認が行われ、追跡番号が付与されます。
• 最初の確認から30日以内に脆弱性の受領の確認を送信します。この確認では修正期限が提示されます。報告が受領されない場合は、理由を説明し、報告に関する新しい情報を引き続き受け付けます。
• 報告された脆弱性が確認され次第、当社のエンジニアが適切な修正プログラムの開発に取り組みます。
• この90日の期間内に脆弱性を解決できない場合があります。通常の秘密保持期間よりも長くかかる場合は、秘密保持期間を延長するか、そうでない場合は通知いたします。解決は以下により異なる場合があります。
  
  • 当社とは異なる解決期間が設定された上流ベンダー。
  • 脆弱性に対処するために必要な大幅なアーキテクチャの変更。
  • ハードディスクドライブのファームウェアの脆弱性など、低レベルのファームウェア変更に起因する複雑な、または広範囲な検証要件。
• 当社はお客様や一般の方にセキュリティ情報を提供するために、独自の裁量でセキュリティ報告を発行しています。次の場合は、関連するセキュリティ報告およびCVEで脆弱性を発見し報告したことを通知します。
  • 報告された脆弱性が現在サポートされているWestern Digital製品に影響を及ぼす
  • 当社が問題に基づいてコードまたは構成を変更する
  • 問題の最初の報告者である
  • 報告者の研究が本ポリシーに従って行われている
  • 報告者が一般に通知することに同意している
• 一般的なセキュリティ改善や、セキュリティへの影響が証明されていない防御的プログラミング修正に関する報告は公開しておりません。

8. 当社からのお願い

脆弱性開示プログラムに誠意を持って参加いただくにあたり、以下のことをお願いいたします。

• 本ポリシーおよびその他の関連する契約に従うことを含め、ルールに従ってください。本ポリシーと他の該当する条件との間に矛盾がある場合は、本ポリシーの条件が優先されます。
• 発見した脆弱性をすぐにご報告ください。
• セキュリティテスト中のプライバシーの侵害、ユーザーエクスペリエンスの低下、本番システムの中断、データの破損がないように取り組んでください。特に以下についてご注意ください。
  
  • サービス運用妨害などの破壊的なテストを行うなど、ユーザー、システム、またはアプリケーションに潜在的に、または実際の損害を与えないようにしてください。
  • 脆弱性を悪用して不正なデータを表示したり、データを破壊したりしないでください。
  • 個人、財産、データセンター、パートナー、関連会社を標的とする攻撃を行わないでください。
  • ソーシャルエンジニアリングを試みたり、当社の資産を利用するために当社の従業員、請負業者、または関連会社に所属や承認を偽って伝えたりしないでください。
    
  • 脆弱性を発見するために、法律に違反したり契約に違反したりしないでください。
    
• 上記の「製品とサービスの範囲」で定義されている製品の範囲内でのみ調査を行ってください。
• セキュリティの脆弱性の当社へのご連絡は、脆弱性の報告プロセスのみを使用してください。
  
• 問題が解決され、セキュリティ報告が掲載されるまで、発見した脆弱性に関する情報の秘密を保持してください。秘密保持期間外に情報を開示しないでください。
• 脆弱性によってデータに意図せずアクセスする場合、以下を行ってください。
  
  • アクセスするデータの量を概念実証を効果的に行うために必要な最小限に制限します。
  • 個人識別情報（PII）、個人医療情報（PHI）、クレジットカードデータ、機密情報などのユーザーデータが見つかった場合は、テストを中止し、すぐに報告を送信してください。
• 所有しているテストアカウント、またはアカウント所有者から明示的な許可を得ているアカウントとのみやり取りしてください。

9. 免責事項

脆弱性開示ポリシーは随時更新される場合があります。脆弱性の報告を送信する前に、本ポリシーをご確認ください。開示は最初の確認時に公開されていた本ポリシーのバージョンに準拠します。

10. 変更履歴

発行日：2025年3月17日
バージョン：2.0

11. 参考文献

本ポリシーはISOドキュメント29147および30111に示されているガイドラインに基づいています。
discover.ioが提供しているCreative Commons CC-0の概要とテキストを本ポリシー作成の参考にしました。