PSIRT

潜在的なセキュリティ脆弱性に関するメッセージは、誰からでも歓迎します。これらには、弊社の直接の顧客に加えて、セキュリティ専門家、科学者 CERT(Computer Emergency Response Teams)、当局、業界団体、サプライヤー、システムプランナー、運用者などが含まれます。

AUMA PSIRTへの報告は、この目的のために設定されたEメールアドレスPSIRT@auma.comを介して行われます。

弊社製品の一部は重要インフラで使用されているため、セキュリティ脆弱性の開示について、弊社との調整をお願いいたします。これは、当社の開発チームが脆弱性を修正または緩和するための適切な対策を定義し、利用可能になるまでプラントのセキュリティ状況を危険にさらすことを回避するためです。

セキュリティ脆弱性を開示するために当社と協力する場合、秘密保持契約(NDA)やその他の契約は必要ありません。弊社の目標は、AUMAの製品およびサービスに関連する潜在的なセキュリティ脆弱性に対処する際に、信頼できるプロフェッショナルな方法で各報告者と協力することです。

迅速な処理のため、Eメールでのメッセージには以下の情報をお知らせください。

• 報告者の氏名: 匿名を希望される場合は、お客様のご意向を尊重します
• 連絡先の詳細: ご質問やフィードバックをお送りするためのEメールおよび電話番号
• 所属: 組織名 (会社名など)
• セキュリティ脆弱性の種類セキュリティ脆弱性の種類の説明 (XSS、バッファ オーバーフロー、ハードコード化されたアクセスデータなど)
• セキュリティ脆弱性のトリガー: セキュリティ脆弱性がどのように引き起こされるかについて説明 (ツール、プロセス、手順、証拠)
• 影響を受けた製品: どのAUMA製品またはサービスにおいてセキュリティ脆弱性が発見されましたか？注文およびシリアル番号を含む製品名、ファームウェアまたはソフトウェアのバージョン、該当する場合は関連コンポーネントのオペレーティングシステム、サービスの提供場所(URLなど)、入手可能なすべての情報を入力してください。
• セキュリティ脆弱性の影響: 攻撃者がどのようにセキュリティ脆弱性を悪用し、どのような影響があるかについて説明してください。
• CVSS評価: 共通脆弱性評価システム(Common Vulnerability Scoring System: CVSS)に従ったセキュリティ脆弱性の評価(既知の場合)。
• セキュリティ脆弱性の機密性: セキュリティ脆弱性はすでに公表されていますか、または公表の計画がありますか？
•  

メッセージはドイツ語または英語でお送りください。

セキュリティ脆弱性に関する情報は非常に重要であるため、この情報は暗号化してお送りください。そのために、次のPGP キーを使用して、PSIRT@auma.comに送信する情報を暗号化します。

AUMA PSIRTパブリックキー

PGPキーはこちらからダウンロードできます。

フィンガープリント: 64F97ED5674E7BF923018ED87788765AF3FF7089

分析と解決策

メッセージを受領した後、標準化された処理プロセスが開始されます。AUMA PSIRT は、報告されたセキュリティ脆弱性の受領を確認し、提供された情報を評価および分析し、解決策を見出すために必要な調査と活動を調整します。これは、セキュリティ脆弱性の報告者と緊密に協議しながら行われます。

情報開示

AUMA製品およびサービスの安全上の注意事項は、一般にアクセス可能なITセキュリティプラットフォームCERT@VDEを通じて公開されます。CERT@VDEは、セキュリティ脆弱性を調整するために産業オートメーション分野の企業向けに特別に作成されました。

セキュリティガイドライン