ヤマハ発動機グループ 脆弱性開示プログラム(VDP)
ヤマハ発動機株式会社およびヤマハ発動機のグループ企業(以下あわせて「当社グループ」といいます)は、当社グループの製品およびサービスのセキュリティを確保し、お客様をサイバー脅威から保護するために、製品の脆弱性情報を収集、開示します。
当社グループの脆弱性開示プログラム(VDP)は、セキュリティ研究者が当社グループの製品における脆弱性を特定し、当社グループに報告するためのフレームワークです。
1. 製品の脆弱性管理
当社グループでは、製品に関する脆弱性に対応するため、PSIRT(Product Security Incident Response Team)を設置しています。
当社グループは、製品のセキュリティ脆弱性に関連するリスクを特定し、対応するために製品の脆弱性に関わる情報を広く収集しています。
2. 対象となる製品
当社グループ製品および製品と接続して利用するために当社グループが提供するアプリケーション(以下「対象製品」という)。
3. 除外事項
報告対象として除外される脆弱性は、以下の通りです。
- 対象製品と統合または関連するサードパーティシステムの脆弱性
- 対象製品の物理的な破壊または不正な変更が必要な脆弱性
- 当社グループがすでに認識しており、修復プロセスを開始している脆弱性
- ソーシャルエンジニアリング攻撃
- 大量データ型/サービス拒否の脆弱性
- セキュリティへの影響が低いまたは悪用可能性が低い脆弱性
- 脆弱性検査ツールで発見可能な脆弱性であるが、手動での検証が行われていない脆弱性
- 現在サポートされていない対象製品に関わるソフトウェアの脆弱性
- 対象製品におけるサイバーセキュリティ以外の問題
4. バグバウンティプログラム
当社グループでは対象製品に関する脆弱性情報(以下「脆弱性情報」という)の内容にかかわらず、脆弱性情報を報告した者(以下「報告者」という)への報奨は提供しておりません。
5. 脆弱性情報の取り扱い
当社グループでは、報告者より脆弱性情報に関する最初の報告を受け取ってから5営業日以内に当社からの受領確認をいたします。ただし、当社グループの休業日等の諸事情により、受領確認が遅れることがありますのがご容赦願います。
報告された脆弱性情報は、当社グループの技術チームによって確認され、その後、報告者に回答します。
6. 脆弱性対策
報告された脆弱性情報に新たな脆弱性が記載されていると当社グループが判断した場合には、必要に応じて対策や回避策を提示・公開します。
7. 報告された脆弱性情報に対する権利
報告者は、脆弱性情報を当社グループに報告することにより、以下に同意するものとします。
- 報告者は、脆弱性情報について、当社グループに報告することについての適法な権利を有していること、及び脆弱性情報が第三者の権利を侵害していないことについて、当社グループに対し表明し、保証するものとします。
- 報告者は、当社グループ及び当社グループから権利を承継しまたは許諾された者に対して著作者人格権を行使せず、かつ著作者に行使させないものとします。
- 報告者は、脆弱性情報およびそれに関する知的財産権について、当社グループに対し、世界的、非独占的、無償、サブライセンス可能かつ譲渡可能な使用権を付与します。これには、当社グループが脆弱性情報に基づき脆弱性対策や回避策を策定および公開すること、製品を修正・改善すること、商品化および派生物を製作すること、販売・配布することを含みますが、これらに限られません。
- 報告者は、当社からの回答内容の一部または全部の利用および第三者への開示を行わないものとします。
8. 本脆弱性開示プログラムの管理者
- ヤマハ発動機株式会社
- 〒438-8501 静岡県磐田市新貝2500
psirt@yamaha-motor.co.jp
本メールアドレスへのお問合せは、本脆弱性開示プログラムに関連するお問合せに限らせて頂きます。
関連のないお問合せを頂いた場合、回答できないことがございます。あらかじめご了承ください。
また、当社グループよりお客様へ送信いたします回答は、お問い合わせ者に対し、お問合せに回答する目的でお送りするものです。
回答内容の一部または全部の第三者への開示および二次利用など、他の目的で使用することはご遠慮ください。
