製品脆弱性開示およびポリシー

イートンは、個々の研究者、ICS-CERT、セキュリティインテリジェンス収集機関、イートン製品に関する脆弱性を発見して脆弱性レポートを提出するお客様および現場担当者と、誠意を持って連携する態勢を整えています。脆弱性は当社サイトの［問題の報告］ページで報告できます。

イートンは、以下に挙げる個人に対して訴訟を起こさないことに同意します。

• イートンまたはイートンの お客様に損害を生じさせることなくイートンスマート製品のテスト/調査に従事する方。
• 脆弱性開示ポリシーの範囲内で、またはイートンから事前の許可/同意を得て、脆弱性テストに従事する方。
• お客様に影響を与えずに、またはデバイス/ソフトウェアの脆弱性テストに従事する前にお客様から許可/同意を得て、製品をテストする方。
• お住まいの地域およびイートンの所在地の法律に従う方。
• 脆弱性レポートをイートンの問題報告プロセスに従って提出する方。
• 相互に合意した期間経過前に脆弱性の詳細を公開することを控える方。

確認と予備分析

イートンは社内リスク評価プロセスに従って、脆弱性情報を受け取ることに同意および確認し、予備分析を行い、報告された脆弱性に初期評価を割り当てます。外部から報告された第三者ライブラリ内の脆弱性については、CVSS v3脆弱性評価方式を使用してリスク評価を割り当てます。これは影響を受けるイートン製品とその展開状況に適用されます。CVSS総合評価が7.0以上の脆弱性、またはCCoEによって高セキュリティリスクと判断された脆弱性は、優先度に基づいて対処されます。

修正または緩和

現在サポートされている製品で発見された脆弱性は、イートンによって修復されます。CCoEチームと製品チームが連携して、割り当てられた優先度に従って脆弱性を修復します。問題解決のおおよそのタイムラインが見積もられ、脆弱性報告者（個々の研究者、ICS-CERT、その他の機関）に伝達されます。 CCoEチームは、このフェーズで外部事業体に対する単一窓口として機能し、内部チームと共にその脆弱性の修正とテストに従事します。 この期間、問題の解決に取り組みながら、報告者とのやり取りを継続する可能性があります。

修正のリリース

イートンは、脆弱性の修復/修正を、影響を受ける製品の標準流通チャネルを通じてリリースします。修正に関連する詳細な技術情報は、イートン製品セキュリティアドバイザリとしてリリースされます。

イートンは、脆弱性研究者と連携して協調的な公開を実行することを希望し、脆弱性研究者が相互に合意した期間経過前に脆弱性の詳細を公開することを控えてくださることを期待します。

イートンセキュリティアドバイザリ

セキュリティ脆弱性に関連して一般公表された情報は、サイバーセキュリティ通知ページに掲載されます。このページは、すべてのイートン電気製品に関連するイートン製品セキュリティアドバイザリの中央リポジトリです。お客様は、このポータルで最新のセキュリティアドバイザリを監視することを奨励されます。

イートンは、検証された脆弱性について実用的な回避策または修正が特定された時点で、セキュリティアドバイザリを公開する予定です。回避策なしでアドバイザリが公開されることもあります。セキュリティ脆弱性はそれぞれ異なるため、セキュリティアドバイザリ公開に関連して代替アクションを取る場合があるからです。 

イートンは、お客様が重要とお考えになるすべてのセキュリティ問題についてセキュリティアドバイザリが公開されること、またはアドバイザリが特定のタイムラインで公開されることを保証するものではありません。

注： イートンは、自らの裁量により、このポリシーを随時変更する権利を留保します。

報奨および表彰

イートンは、このポリシーに従って製品サイバーセキュリティ脆弱性を報告するセキュリティ研究者の貢献を表彰するために、「Hall of Recognition」を継続的に運営しています。