製品サイバーセキュリティ

今日の高度に接続された世界において、通信技術や IoT デバイスは現代インフラの重要な要素となっています。重要な通信ネットワークからスマートホームデバイス、AI 搭載システム、産業制御システムに至るまで、製品のセキュリティ脆弱性は深刻な影響を及ぼす可能性があります。

このようなリスクを踏まえ、当社は製品およびお客様の資産の安全性を最優先事項としています。Gemtek は、業界パートナー、セキュリティ研究者、ホワイトハッカー (white hat hackers) 、ユーザーコミュニティ、お客様と連携し、脆弱性が悪用される前に特定し、対策を講じることに尽力しています。

そのため、外部から発見された潜在的な非公開の脆弱性を適切に管理するための「責任ある脆弱性開示ポリシー」を制定しました。

責任ある脆弱性開示ポリシー

対象範囲

本ポリシーは、以下の項目に適用されます。

  • Gemtek が提供する組み込みシステム、IoT デバイス、通信機器 (ハードウェア/ソフトウェア) 、クラウドサービス、および API。
  • 当社製品に使用されている通信プロトコル、ファームウェア、ソフトウェアスタック。
 

本ポリシーの対象外

  • DDoS 攻撃やブルートフォース攻撃など、サービスを中断または低下させる行為。
  • ソーシャルエンジニアリング (social engineering) 、フィッシング (phishing) 、物理的なセキュリティテスト。
  • Gemtek が管理していないサードパーティ製コンポーネントに関する問題。

脆弱性の報告方法

当社の製品またはサービスにセキュリティ脆弱性を発見した場合は、速やかに以下の方法でご報告ください。
メール: 
暗号化 (オプション) : 当社の PGP 公開鍵を使用して、報告内容を暗号化できます (.asc ファイルのダウンロードリンクおよび Base64 エンコードテキストボックスを提供) 。

Gemtek 公開鍵

フィンガープリント (Fingerprints) :

  • SHA256 Fingerprint: 7c2caf7c92d536412d82d77e7e2472ae6ee202c924c9f280a4f894d614cdda04
  • SHA512 Fingerprint: 82218245d8d4ba818c90946d430e93769bcf033d4e9ae556529d8da27c101d695ed84c819179b677b8b9c992ed6ba3f1d18cc3b286f6a83f8f8cf1b9cd7cc965
 

公開鍵をダウンロード

-----BEGIN PGP PUBLIC KEY BLOCK-----
mHMEZ7cmGRMJKyQDAwIIAQELAwMEYnpX8uq6GBahPwl2BkdyE6vAuOJW3POY4jsG U8OxRHgEdi8jetvuGC27l/0gYnEBFE2f+yukrxuIYgLH7Y6T2RLjbCehRPzsdIzA y+JHRpkND5HEhwUe4iaAWObSM0CYtEFQcm9kdWN0IFNlY3VyaXR5IEluY2lkZW50 IFJlc3BvbnNlIDxwcm9kdWN0X3NlY3VyaXR5QGdlbXRla3MuY29tPoi5BBMTCQBB FiEE+4j6eFeDJVfKQ0OICeUothFQjccFAme3JhkCGwMFCQHrpJcFCwkIBwICIgIG FQoJCAsCBBYCAwECHgcCF4AACgkQCeUothFQjcd6IgF/QOsUVGi/W/5a1wQvcdKK U9jh0tvTE9cu8WJbQeQqzXXSjuzDhau2y939kN6nunVpAX9A5mblo+haL6Yc07jT 23aGhGoq2XFKKQpCbNISqcJmulYlZI8uJwWTdnntpVcTBTS4dwRntyYZEgkrJAMD AggBAQsDAwQcD2E2GwzwjdC7X+atI50DH+x9hNLXPYXu52gZOacqySUiLGjnl3qt SC8ne5+BV3YY2lfBsYcoKj0rEBVfaMwEtE7V4kTtedfB//SdHfmRwX2xR+QQnUzw o3psVb1ouuwDAQkJiJ4EGBMJACYWIQT7iPp4V4MlV8pDQ4gJ5Si2EVCNxwUCZ7cm GQIbDAUJAeuklwAKCRAJ5Si2EVCNx46oAYCBSJ2D1KV6dlxuQPkVVlzRQy861cGU APyYwk9hWHipvPJ4YJ5aYx+BnDNXPux31ZUBf0xRCPgQND/JeHtrJlnij/EuNncD F9wAg33hHgmQPtKPLK9QLmMmMIKd+/wc+c9m9w==
=nMNB
-----END PGP PUBLIC KEY BLOCK-----
 

報告時には、以下の情報をできるだけ詳細にご提供ください。

  • 影響を受ける製品/サービスおよびファームウェア/ソフトウェアのバージョン。
  • 再現手順 (PoC、スクリーンショット、ログなど) 。
  • 潜在的な影響の評価 (例:データ漏洩、権限昇格) 。
  • 連絡先情報 (オプション、返信や認知を希望する場合) 。
 

脆弱性報告者への期待

  • 倫理的かつ合法的に行動し、概念実証 (PoC) テストに必要な範囲を超えて脆弱性を悪用しない。
  • ユーザーデータへのアクセス、改変、削除を行わず、サービスを妨害しない。
  • Gemtek が業界のベストプラクティスに基づき修正を完了するまで、脆弱性を公表しない。
 

当社が提供する対応

  • 報告の確認: 5 営業日以内に報告を受領したことを通知します。
  • 調査および分類: 問題の調査を行い、30 日以内に状況を報告します。
  • 修正対応: 確認された脆弱性については、合理的な期間内に修正を行い、修正が完了した際に通知します。
  • 公開認定: ご希望があり、関係者の承認が得られた場合、報告者として公式に認定し、適切な形で謝意を表します。
 

免責事項

Gemtek は、本ポリシーを遵守し、誠意を持って行動する研究者およびホワイトハッカーに対し、以下の条件を満たす限り、法的措置を講じません。

  • 本ポリシーに基づいた倫理的かつ善意の行動を行う。
  • プライバシーの侵害、損害の発生、サービスの中断を引き起こさない。
 

感謝と認定

当社の製品およびお客様の安全性向上にご協力いただいているセキュリティ研究者の皆様に、心より感謝申し上げます。貢献が公に認められることをご希望の場合は、お知らせください。

Gemtek と共に、通信およびコネクテッドデバイスのセキュリティ強化にご協力いただき、誠にありがとうございます。