PTC による協調的な脆弱性公開レポート (v1.0)

PTC はセキュリティに関する研究を重視

安全性とセキュリティは PTC にとって、また PTC がサービスを提供するエコシステムにとって非常に重要です。物理システムとデジタル システムが次第に融合される中、私たち全員が、より安全で防御しやすく、弾力性の高いシステムを開発および維持する共同責任を負っています。PTC は、強力なセキュリティ プログラムおよびイニシアチブを介して自らの責任を果たすことを目指しています。そして、この取り組みをさらに広げ、誠意を持って行動する同志の皆様との連携を希望しています。このため、PTC は、セキュリティ研究者からの貴重な貢献を歓迎します。プロセスを円滑に進め効率化するために、協調的な脆弱性公開プログラムを実施します。

初期の対応範囲

この試験運用の初期には、ThingWorx ブランドの製品を中心に対応します。これは、安全性が不可欠な産業環境に脆弱性が影響を与えるおそれがある領域に集中するためです。その後はプログラムの成熟に応じて、その他の製品にも対応するよう範囲を拡大していく予定です。

法的な姿勢

PTC は、誠意を持って行動し、あらゆる適用法への準拠を含め、本ポリシーに記載されている協調の手順およびガイドラインに従っている人物・団体に対して訴訟を起こすことはありません。

PTC とのコミュニケーション

双方向の開示を適切に処理するために、以下の手順に従ってください。

  • 英文のレポートを cvd@ptc.com に送信する。
  • 本 Web ページで入手できる PGP パブリック キー、またはその他の暗号化手法を使用して、メッセージを暗号化する。
  • • 弊社に提供するスクリーンショットやその他のドキュメントまたはコンテンツに、機密情報 (脆弱性の詳細に関係のない情報) を一切含めない。

PTC でメッセージを受領し次第、担当者が 7 暦日以内に受領確認を送ります。

研究者の皆様へのお願い

弊社では、以下のガイドラインに従っていただけるセキュリティ研究者の皆様と協力したいと考えています。

  • 実稼働環境でのテスト (またはハッキング) は行わない (脆弱性テストは、テスト環境または開発環境で行う)
  • すべての適用法および該当する規制に準拠する
  • 合法な権限を持たないアカウントまたはシステムのデータにアクセスしたり、これらを修正したりしない
  • 発見した脆弱性や問題を利用せず、不相応な行為や不正行為を行わない
  • 公共の安全、プライバシー、セキュリティへのリスクを最小限に抑えるために、発見された脆弱性に関する情報の公開日を PTC と協力して選定する
    • 公開計画がある場合は、公開前に PTC に通知する
    • 適切である場合は、DHS-ICS-CERT、CERT/CC、関連規制機関、その他の該当する政府機関を関与させる
    • 脆弱性 (および CVE) に関する脆弱性コーディネーターへのコミュニケーションの詳細を弊社に提供する
  • 可能な場合: 英文で適切にまとめられたレポートの方が、迅速な解決につながる確率が高い
  • 可能な場合: レポートに概念実証コードが含まれていると、弊社での判別が容易になる

PTC の対応

レポートを受領し次第、PTC は以下のように対応します。

  • 7 暦日以内に受領確認を送る。
  • 報告内容の初期評価を実施し、その正確性、エスカレーションの必要性、エスカレート先の製品グループを判断する。この段階で、提出者に対して次のいずれかの対応がなされます。
    • 追加情報を要求される。
    • プログラムの基準を満たさなかったため、または提供されている詳細が不十分であったため、プログラムで脆弱性が承認されなかった旨の通知を受け取る(非承認の通知に返答する場合の連絡先は cvd@ptc.com になります)。
  • 解決策を立て、脆弱性の重要度スコアに応じて適切な措置をとる。
  • 要求があった場合、およびそのレポートによって結果的に修正プログラムやコミュニケーションが公開された場合、その研究者を公認する。

必要に応じて、またはコミュニケーションなどの問題を解決できない場合、PTC は中立的なサードパーティ (CERT/CC、DHS-ICS-CERT、関連規制機関など) を関与させ、脆弱性への最適な対処方法の判断を支援することがあります。

注記: PTC と共有された情報はすべて、PTC が適宜判断した方法によって、PTC が利用することができます。情報の提供によって情報提供者が何らかの権利を得ることも、PTC が何らかの責任を負うこともありません。