このページは情報提供のみを目的として翻訳したものであり、誤りを含んでいる可能性があります。
本ページの英語版との間に齟齬がある場合、英語版のページが優先されますので、英語版のページをご確認ください。

ST PSIRTについて

STの製品セキュリティ事故対応チーム（ST PSIRT）は、STのハードウェアやソフトウェア製品に関連する潜在的なセキュリティの脆弱性の報告を受け入れ、これに対応するプロセスを監督しています。

STは、セキュリティを重要視しており、ST PSIRTは、ST製品に影響を与える潜在的なセキュリティの脆弱性に迅速に対処することに尽力しています。セキュリティに関する長い歴史と豊富な経験を持つSTは、明確な分析を実施し、脆弱性の軽減や解決策に関する適切なガイダンスを提供することができます。

ST製品に関する潜在的なセキュリティの脆弱性を報告する場合、本ページに記載されている手順に従ってST PSIRTへの報告を行ってください。

潜在的なセキュリティ脆弱性の報告方法

潜在的なセキュリティ脆弱性を報告する場合は、ST PSIRT（psirt@st.com）にご連絡ください。

すべての連絡及び報告は英語でお願い致します。

報告の機密性のため、潜在的なセキュリティ脆弱性の報告はすべて、ST PSIRT PGP/GPG鍵で暗号化した上で送信することを強くお勧めします。

• フィンガープリント：F2B8 13E0 6AD0 CBD0 81B9 FA94 0FEE E399 08AE 602C
• 公開鍵ファイル（ZIP、3KB）

PGP/GPGで暗号化したメッセージの作成及び解読を行うための無料ソフトウェアは、以下から入手可能です。

• Gpg4win
• GnuPG

重要（よくお読みください）：

STMicroelectronics International N.V.は、自社、関連会社、および子会社（以下「ST」と総称します）を代表して、すべての潜在的なセキュリティ脆弱性の報告またはその他の関連する連絡（以下「報告」といいます）を真剣に受け止めます。STがお客様の報告（「お客様」という用語には、お客様の雇用主、及びあらゆる関連会社、子会社、関係者および関連団体が含まれます）を検討し、適切と考える対策を講じるためには、STがかかる検討と対策を行うための権限とお客様の許可を得る必要があります。

そのため、お客様は、お客様の報告をSTに提出することにより、STにかかる検討及び対策を行う権利があることに同意するものとし、またセキュリティ脆弱性の分析、テスト、修正、パッチング、報告、およびその他の関連する目的又は役割のためにお客様の報告を使用する権利をSTに許諾するものとします。

お客様の報告に含めることが推奨される情報

潜在的なセキュリティ脆弱性にST PSIRTが対応できるようにするには、以下の情報を提供していただく必要があります。

• ST製品ID：品番または製品リファレンスおよびバージョン（ハードウェアまたはソフトウェア）
• 潜在的な脆弱性の技術的な詳細（関連する既知のエクスプロイト（脆弱性）を含む）
• 潜在的な脆弱性を発見した時期及び経緯
• 公開済みまたは公開予定の公開情報（CVE、学術論文の発表など）
• 対応中に使用するお客様の連絡先情報

情報が不十分な場合、STがご依頼の内容を評価できないことがあります。

潜在的な脆弱性の管理プロセス

ST PSIRTは、報告を受けた後、報告された潜在的なセキュリティ脆弱性を以下のプロセスに従って管理します。

1. 新しい脆弱性の報告：この段階で、問題の報告を受けたことを確認します。
2. 評価：潜在的な脆弱性を評価して問題の有無を把握し、分析し、根拠のある問題を管理するための優先順位を設定します。元の報告に情報の不備がある場合や説明をして頂く必要がある場合、ご報告頂いたお客様にお問い合わせすることがあります。
3. 解決：根拠のある問題に対処するために考えられる解決策や軽減策を調査します。
4. 連絡：解決策（是正手段または軽減策）が見つかった場合、必要に応じてご報告頂いたお客様又はその他の関係者にご連絡します。