セキュリティ問題の報告

FireEyeでは、弊社の製品、サービス、ビジネス・アプリケーション、インフラストラクチャを安全にご利用いただけるよう、セキュリティに細心の注意を払っています。セキュリティ・ベンダーである弊社は、セキュリティ問題の調査や対応がいかに重要であるかを理解しています。しかしながら、弊社が開発するすべての製品およびサービス、弊社が利用するインフラストラクチャおよびアプリケーションのセキュリティ脆弱性を根絶するべく、最大限の努力を払ったとしても、新たなセキュリティ脅威が絶え間なく出現し、新たな脆弱性が次々発覚する現状では、改善の余地が決してゼロにならないこともまた事実です。そのため、FireEyeでは、セキュリティ問題の発見について社外の研究コミュニティの協力を得ること、そして発見された問題の修正、およびそれに関係する、またはその根本原因であるシステム上の問題の解決について外部のセキュリティ研究者と協力する取り組みが、弊社のセキュリティ体制をさらに改善するうえできわめて重要であると考えています。

FireEyeでは、弊社のお客様を保護するため、社外の研究コミュニティからセキュリティ問題の発見や解決に関する協力を得て、その貢献に感謝するためのプロセスを設けています。ただし、ご協力いただく際には、弊社の責任ある情報開示ポリシーおよびプロセスをご理解いただき、セキュリティ脆弱性の情報を一般に開示する前に、弊社が問題を評価して対応し、必要に応じて修正するための時間的猶予を尊重していただく必要があります。

FireEyeへのご連絡

FireEyeの製品、サービス、Webサイト、インフラストラクチャに影響する潜在的なセキュリティ脆弱性、またはFireEyeに関係する不適切な問題をご報告くださる場合は、 security@fireeye.comまでお願いいたします。

報告内容の保護

必要に応じて、FireEyeセキュリティ・チームのPGPおよびS/MIME鍵をご利用ください。

FireEyeの責任ある情報開示ポリシー

FireEyeでは、セキュリティ研究者の皆様に対し、FireEyeの製品、サービス、Webサイト、インフラストラクチャに存在するセキュリティ問題を報告していただくようお願いしています。FireEyeの責任ある情報開示プロセスは、(1)初期トリアージ、(2)フィックスの開発/問題の修正、(3)お客様へのフィックスの提供、(4)お客様がフィックスを適用する90日の猶予期間、(5)情報開示および通知、という5つのステージで構成されています。

セキュリティ問題について報告を受けた場合、FireEyeは、その受領を報告者の方にEメールでご連絡するとともに、初期トリアージと問題の解析を開始します(ステージ1)。通常、初期トリアージは1週間以内に完了しますが、実際の期間は製品やサービスの種類によって異なります。トリアージが完了し、フィックスが必要な問題が確認された場合は、その旨を報告者の方にご連絡するとともに、フィックスの開発/問題の修正を開始します(ステージ2)。このステージでは、FireEye製品に存在する、外部から報告された、または公知となったセキュリティ脆弱性を参照するための識別情報(脆弱性の名称、内部的な識別情報、Common Vulnerability and Exposures/CVE番号など)をFireEyeが定義します。フィックスの提供に要する時間は、問題の複雑さや深刻度、サードパーティ・ベンダーへの依存性など複数の要因によって異なりますが、通常は30~90日間となります。フィックスが完成した後は、FireEyeのお客様に当該セキュリティ問題についての情報を提供し、フィックスをダウンロードしてシステム/資産(お客様の側でのフィックスの適用が必要となるシステム/資産)に適用するようご連絡します(ステージ3)。この段階では、あくまでもお客様に対してのみ、フィックスについての情報と推奨される問題の緩和策(存在する場合)を通知します。問題の影響を受けるすべての製品にフィックスが提供され、問題の存在するサービス、Webサイト、インフラストラクチャにフィックスが適用されてから90日が経過するまで、問題の詳細は開示されません(ステージ4)。お客様が余裕を持ってフィックスを適用し、システムを更新できるよう、報告者の方もこの90日の猶予期間を尊重してくださいますようお願いいたします。お客様環境の遠隔測定データが入手可能な場合、FireEyeは、お客様のフィックス適用状況をモニタリングし、カスタマー・サポート・チームと連携して、情報開示までの期間をお客様に定期的に通知します。また、90日の期限が近づいてきた時点で、フィックスを早急に適用していただけるよう改めてご連絡します。90日の猶予期間が経過した後に(場合によってはそれよりも早い時点で)、FireEyeは、当該セキュリティ問題についての詳細情報を含むリリース・ノートまたはセキュリティ警告として、脆弱性情報のアドバイザリおよび開示文書を公開します(ステージ5)。この際、FireEyeの責任ある情報開示ポリシーに従って問題を報告してくださった研究者の方の氏名を掲載しますが、匿名を希望される場合は、問題の報告時にその旨をご連絡ください。

FireEyeは、このプロセスの一連のステージを通じて、報告者の方との継続的なコミュニケーションを図ります。ただし、お客様を保護する一般的な慣行として、影響を受けるすべての製品に対してフィックスが提供され、すべてのサービス、Webサイト、インフラストラクチャにフィックスが適用されるまで、いかなるセキュリティ問題または脆弱性についても、問題の所在の確認、議論、情報の開示は行いません。報告者の方も、FireEyeがポリシーに従って問題を評価、修正し、フィックスを提供するまで、問題についての一切の情報を公に、またはその他の方法で開示しないようお願いいたします。弊社の製品とサービスを利用するお客様およびパートナー様や、FireEyeのソリューションを運用するために弊社のインフラストラクチャとアプリケーションを利用するお客様およびパートナー様を継続的に保護するためには、この一連のプロセスが最も効果的であると、FireEyeでは考えています。

FireEyeでは、このプロセスの間、次の連絡時期を報告者の方に通知いたします。また、必要に応じて作業の推定所要期間をお知らせいたします。報告者の方から、作業の進捗をお問い合わせいただくこともできます。

ご協力のお願い

FireEye製品のセキュリティ向上とお客様の継続的な保護のため、ご理解・ご協力のほどよろしくお願いいたします。