脆弱性に関する情報の入手

当社は製品の情報セキュリティ品質向上のために、社外のセキュリティ研究者や調整機関（国内外のCERT^*2など）から製品の脆弱性に関する情報を収集しております。製品の脆弱性に関する情報は、調整機関へご連絡いただくか、以下の当社ウェブサイトの連絡フォームから当社へご連絡ください。

*2Computer Emergency Response Team

連絡フォームからの脆弱性に関する情報の受信を確認後、受信日を起点として5営業日以内に、受領した旨をご報告者様にご連絡いたします。年末年始休暇、ゴールデンウィーク、夏季休暇等の期間中はご連絡が暫く遅れますこと、ご容赦願います。

三菱電機製品脆弱性受付窓口では、当社製品の未公開の脆弱性に限り情報を受け付けております。当社ウェブサイト（mitsubishielectric.co.jp,mitsubishielectric.com）の脆弱性に関する情報につきましては、MELCO-CSIRT^*3までご連絡ください。
また、当社以外の製品につきましては、各製造元までご連絡いただけますようお願いいたします。

*3MELCO-CSIRT
https://www.nca.gr.jp/member/melco-csirt.html

連絡フォームはSSL/TLSによって暗号化されております。連絡フォームからご連絡いただいた後のご報告者様とのコミュニケーションは電子メールにて行います。電子メール及び添付ファイルに未公開の脆弱性に関する機微な情報を含む場合は、情報の第三者への意図せぬ開示を防ぐため、PGP公開鍵をご利用いただき、メールの暗号化にご協力いただけますようお願いいたします。なお、PGP公開鍵は、連絡フォームからご連絡いただいた方に別途通知いたします。

調査及び対策

ご連絡いただいた製品の脆弱性に関する情報は、当該製品の設計・開発部門にて確認を行い、以下の3点が確認された場合には、新規の脆弱性であると判断し、確認後速やかにご報告者様に確認結果をご連絡いたします。なお、確認にあたり、必要に応じて追加の情報提供をお願いする場合があります。

• 製品のセキュリティに影響のある問題であること
• 再現性があること
• 未公開であること

新規の脆弱性であることが確認された場合は、対策の実施と情報公開の準備を行います。新規の脆弱性ではないことが確認された場合は、ご報告者様との合意のうえ、対応を終了いたします。

セキュリティアドバイザリの公開

当社製品の新規の脆弱性であることが確認された場合は、お客様が適切な対策を講じることを可能とするために、情報の公開準備が整い次第、ご報告者様をはじめとする関係者様と公開日を調整のうえ、CVE番号を採番し、以下の当社ウェブサイトにてセキュリティアドバイザリを公開いたします。

また、公開と同時にJPCERT/CC^*4及び必要に応じ海外のCERTへ脆弱性の届け出を実施いたします。情報セキュリティ早期警戒パートナーシップガイドラインに基づき、原則としてご報告者様、調整機関、当該製品開発者以外の第三者へ公開前の脆弱性に関する情報を開示いたしません。

*4Japan Computer Emergency Response Team Coordination Center

当社製品の脆弱性の発見または解決に貢献いただいた方に対しては、謝辞の掲載に同意いただいたうえで、対象のセキュリティアドバイザリに謝辞を掲載いたします。同一の脆弱性について、複数の個人・団体からご連絡いただいた場合は、最初のご報告者様に対して謝辞を掲載いたします。