製品サイバーセキュリティ脆弱性管理プロセス
Moxaの製品サイバーセキュリティ脆弱性管理プロセスは、以下に詳述する5つのステージから構成されています。Moxaは、各ステージのプロセスに注意深く従い、実施しています。
- インシデント発生直後の対応:PSIRTが、Moxa製品に関する外部からの脆弱性レポートを受け取り次第、最初の応答を2営業日以内に返します。
- トリアージと分析:PSIRTは、サイバーセキュリティの潜在的な脆弱性をトリアージ(優先順位付け)して分析し、Moxa製品への影響を評価します。このステージで、脆弱性レポートの報告者に予備評価レポートを提出します。
- 調査:PSIRTは製品開発チームと緊密に連携し、脆弱性の根本原因と、Moxa製品への影響の程度や度合いを特定します。次に、PSIRTは問題を軽減および解決するためのソリューションを提供します。PSIRTは、このステージを通して継続的に、インシデントの報告者と連絡を取ります。
- 修復:PSIRTは製品開発チームと緊密に連携し、最終的なソフトウェア/ファームウェアパッチを開発するか、または緩和策の最終調整を行います。また、PSIRT は関連する脆弱性に関する最新情報の追跡調査を継続し、潜在的な影響を評価します。脆弱性がお客様に高いリスクをもたらし、最終パッチの開発にお客様にお待ちいただける以上に時間がかかる場合、Moxa は最終パッチの提供前に一時的な緩和策を提供いたします。
- 開示:PSIRTは、製品のサイバーセキュリティに関する脆弱性の結果を、当社のウェブサイトのセキュリティアドバイザリセクションに公開します。レポートには、脆弱性の説明、影響を受ける製品とバージョン、緩和策、および適切な修復計画が記載されます。
MoxaのPSIRT および開発チームは、共通脆弱性評価システム(CVSS)とMoxaのリスクベースの脆弱性管理モデルを元に、インシデントの潜在的なリスクを評価します。PSIRTは、セキュリティの内容、脆弱性が悪用される可能性、考えられる影響、およびその他の要因など、いくつかの要因に基づいて問題に対処するためのタイムラインを作成します。
報告された脆弱性を分析後、Moxaは当該のテスト環境を直ちにセットアップして脆弱性の重大度を判断します。必要に応じて、Moxaは問題の報告者と連絡を取り続けます。根本原因と影響の重大度を特定した後、Moxaは修復策の分析に進み、解決策または緩和策を提供します。
セキュリティアドバイザリの更新と発表は、Moxaのウェブサイトのセキュリティアドバイザリセクションにて公開され、どなたでもセキュリティアドバイザリ RSS フィードを購読できます。特定の Moxa 製品における、最新のセキュリティアナ ウンスを受け取りたい場合は、始めに Moxa のウェブサイトでアカウントを作成してから、[Follow Updates]オプションをクリックしてください。