脆弱性開示ポリシー

1. 目的

当社は、当社が提供するクラウド型EMSおよびこれに関連する機器・サービスのセキュリティ確保を重要事項と考えています。

本ポリシーは、当社製品に関する脆弱性情報をご報告いただくための窓口、および当社が報告受領後に行う対応の基本的な流れを示すものです。

2. 対象

本ポリシーの対象は、以下の製品およびサービスです。

  • Grid Shield EMS/Grid Shield EMS Advance(クラウド型EMS)
  • 当社が提供する遠隔監視サービス
  • DSA(Device Secure Access)サービス
  • 当社提供機器(境界通信端末、出力制御端末、周波数制御端末、データ収集機器等)
  • 上記に関連して当社が提供するクラウド、通信、運用サービス

対象範囲が不明な場合であっても、当社製品に関連する可能性がある情報については、下記窓口までご連絡ください。

3. 脆弱性情報の連絡先

当社製品のセキュリティ上の問題に関するご報告は、以下の窓口で受け付けます。

受付窓口 サービス運用部 脆弱性管理チーム
メールアドレス vulnerability@ex4energy.jp
問い合わせフォーム https://ex4energy.jp/contact/
受付時間 平日 9:00~17:00

ご報告の際は、可能な範囲で以下の情報をご記載ください。

  • 対象製品名、対象サービス名
  • 対象機器の型式、ソフトウェア/ファームウェアのバージョン
  • 発見日時
  • 脆弱性の概要
  • 再現手順
  • 想定される影響
  • 検証環境
  • ご連絡先

4. 受領後の手続

当社は、脆弱性情報を受領した後、原則として以下の手順で対応します。

4-1. 受領確認

当社は、受領後、内容確認のうえ、必要に応じて報告者へ受領の連絡を行います。

4-2. 内容確認・追加照会

当社は、報告内容を確認し、必要がある場合には、報告者へ追加情報の提供をお願いすることがあります。

4-3. 影響調査・再現確認

当社は、対象製品・対象サービスへの影響有無、再現性、対応要否等を確認します。

4-4. 対応方針の決定

当社は、必要に応じて、回避策、設定変更、運用上の注意喚起、ソフトウェア修正、ファームウェア更新その他の対応を検討します。

4-5. 関係者との調整

必要に応じて、関係する利用者、保守会社、委託先、機器ベンダーその他の関係者と調整を行います。

4-6. 対応完了後の案内

当社は、必要に応じて、対象利用者または対象関係者に対し、対応内容、回避策、更新方法その他必要事項を案内します。

5. 状況更新

当社は、脆弱性が解決されるまでの間、必要に応じて、以下の方法により状況更新を行います。

  • 報告者への個別連絡
  • 対象利用者または契約主体への個別案内
  • 製品Webサイトへの掲載
  • 保守・サポート窓口を通じた案内

更新内容には、必要に応じて、以下の事項を含みます。

  • 調査中である旨
  • 影響範囲
  • 暫定対処
  • 修正版提供予定
  • 対応完了のお知らせ

ただし、セキュリティ確保の観点から、すべての詳細情報を直ちに公開しない場合があります。

6. ご報告にあたってのお願い

ご報告にあたっては、以下の点にご配慮ください。

  • 当社または利用者のサービス継続に重大な影響を与える行為は行わないこと
  • 個人情報、機密情報または第三者情報を必要以上に取得・送信しないこと
  • 脆弱性の存在を確認する目的を超えて、改ざん、破壊、妨害または不正アクセスに該当し得る行為を行わないこと
  • 公開前に当社との間で適切な調整を行うこと

7. 免責等

当社は、いただいたご報告について誠実に確認・対応しますが、すべてのご報告に対して、個別の回答、謝礼の支払い、修正対応または公開対応をお約束するものではありません。

また、当社は、法令および当社の社内方針に従い対応します。

8. 改定

当社は、必要に応じて本ポリシーを改定することがあります。

改定後のポリシーは、当社製品Webサイトへの掲載その他当社所定の方法により公表します。