GE Healthcare Coordinated Vulnerability Disclosure Statement v2.0(GE Healthcare脆弱性開示協調説明書v2.0)

GE Healthcare、責任あるセキュリティ研究を奨励

GE Healthcareは、医療機器業界と医療エコシステム全体の両方において、セキュリティ研究者がセキュアな設計の実践とセキュリティリスク緩和の推進において果たす重要な役割を認識しています。当社はセキュリティ研究者の業務を尊重しており、検出された脆弱性や提案された開示について当社と連携し責任ある形で積極的に関与することを奨励しています。本書では、GE Healthcare製品のセキュリティ調査を実施する研究者に対して、当社および他社との交流において当社が求めること、また同研究者が当社に対し期待できることを提示します。

適用範囲

このCoordinated Vulnerability Disclosure Statement(脆弱性開示協調説明書)は、GE Healthcareのすべての市販製品に適用されます。セキュリティ研究者とGE Healthcareの共同の目標は常に、発見された脆弱性による影響を受ける運用環境全体に対して十分な配慮をした上でリスクを低減することです。

必須条件の報告

セキュリティ研究者は、初期研究および検査を含む研究および開示プロセス全体を通じて、以下の必須条件を順守しなければなりません。

  • 自らの所在地およびGE Healthcare製品の所在地において適用されるすべての法規制を順守すること。
  • 脆弱性を用いて不適切な措置を講じないこと。例えば脆弱性の存在を証明すること以外に脆弱性を利用すること、製品から機密データを削除すること、あるいは製品の今後の使用においてさらなる脆弱性を生むバックドアの作成などです。
  • 患者に害を与えるリスクのあるシステムの研究またはテストに携わらないこと。
  • 特定の患者の診断、治療、ケア、またはモニタリングに製品が使用されている、あるいは使用されるおそれのある臨床環境またはその他の実際の環境で、製品またはネットワークインフラストラクチャの試験を行わないこと。
  • 臨床環境において今後使用することを予定されている製品はすべて、試験完了時に原状復帰すること。サービスの支援についてはGE Healthcareにお問い合わせください。
  • いかなる試験も事前にGE製品所有者の書面による許可を得て、試験対象範囲を明確に確認すること。
  • GE Healthcareと相互合意した期限を迎えるまでは脆弱性の詳細について一般公開しないこと。
  • 本書に記載された範囲外で実施しないこと。
  • 発見されたいかなる脆弱性についても、規制機関または他の第三者とやりとりをする場合は、遅滞なくその詳細を当社に報告すること。

脆弱性の報告方法

脆弱性をGE Healthcareの製品セキュリティチームに報告するには、電子メールを送信してください(GEHealthcareCVD@GE.com)。弊社のPGPキーまたはその他の適切な暗号化ツールを使用して機密情報を保護してください。機密データ(個人を特定できる患者データなど)が報告の本文または添付文書(スクリーンショット、画像、ログファイルなど)に含まれないようにしてください。

選好、優先度、受理の基準

当社からの要請および当社に対して期待できること:

  • 明快な内容の英文のレポートは問題解決の可能性が高くなります。
  • 製品の地理的所在地、正確なモデル番号とシリアル番号、ソフトウェアリビジョンおよびシステムの入手方法など必要不可欠な詳細が記載されていると優先順位が高くなります。
  • 概念実証コードが含まれるレポートはトリアージに役立ちます。
  • 本書の範囲内ではない製品または環境に関するレポートは優先されません。
  • 脆弱性の発見方法、確認された影響、CVSSスコアに対する考察、修復案に関するすべての情報を含めることは、当社とのやりとりの効率化に役立ちます。
  • 当社に脆弱性を開示する目的または一般開示の意図を記載してください。
  • この窓口を現在使用中のGE製品に関する苦情の報告に使用しないでください。使用中のGE Healthcare製品の安全性または性能に関するお客様の苦情は、すべてGE Healthcareサービス担当者に直接お問い合わせください

当社に対して期待できること:

  • 4営業日以内にメッセージ受信の確認通知を送ります。
  • 初期トリアージと評価の以下のフェーズにおいて、GE Healthcare製品セキュリティチームの担当メンバーからご連絡します。
    • 追加情報の要請
    • 予想されるプロセスとスケジュールの通知
    • 報告された脆弱性はプログラムの要件を満たしていないか十分な詳細情報を提示していないためプログラムに受理されなかったことの通知
  • 十分な情報が収集されレポートが受理された時点で、当社は以下を行います。
    • 該当するセキュリティおよび製品エンジニアリングチームと共に、さらにレポートを評価して調査します。
    • 調査および修正プロセスの全容を明確な予定とともに通知します。
    • 当社の最終結論を通知します。
  • レポートが最終的に一般に開示される場合は、セキュリティ研究者の貢献を公に認めます(希望される場合)。

必要に応じて、GE Healthcareは中立の第三者に調査の解明の支援を要請することがあります。

要請を提出することにより、あなたは自らがGE Healthcareに提供したいかなるデータまたは情報をGE Healthcareが制限のない方法で使用すること(かつ他者にも同様に行うことを許可すること)を認めたものとみなされます。情報の提出は、GE Healthcareの知的所有権における何らかの権利をあなたに与えるものではなく、またGE Healthcareにいかなる義務を生じさせるものでもありません。