脆弱性を報告するべき理由

METTLER TOLEDOのお客様であるかどうかにかかわらず、すべてのMT製品およびソリューションに関する皆さまからの貴重なフィードバックを心より歓迎します。皆さまのご意見は、私たちにとって非常に重要です。お寄せいただくすべてのデータ、特に個人情報は、最も厳重な機密保持のもとで取り扱われ、秘密保持契約は不要であることを保証します。

脆弱性をご報告いただくことで、お客様は製品の改善において重要な役割を果たすことになります。これにより、当社はこれらの問題に迅速に対処し、緩和策、回避策、修正に関する情報をお客様へお伝えできます。この協力的な取り組みにより、MT製品およびソリューションの堅牢性と信頼性を高め、最終的にはお客様がセキュリティリスクを効果的に管理できるようになります。

脆弱性はどのように報告できますか?

MT製品またはソリューションに関連するセキュリティ上の脆弱性は、ぜひご報告ください。包括的で正確、かつ詳細な情報をご提供いただくことで、当社の製品セキュリティインシデント対応チーム(PSIRT)がより効果的かつ効率的に対応できます。

お手続きしやすいように、MTでは当社へご連絡いただくための2つの簡単な方法をご用意しています。 

1. 次のメールアドレスへ送信:psirt@mt.com

2. パートナーCERT@VDE経由で間接的に送信:https://cert.vde.com/helper/reportvuln/

上記の両方の連絡チャネルは、月曜日から金曜日のCET 8:00~17:00に監視されています。 

推奨言語は英語です。

報告は誰が受け取りますか?

METTLER TOLEDOは、報告内容が、記載された問題に対応できる適切な専門担当者に確実に共有されるようにします。報告書へのアクセスはMTの従業員のみに制限され、外部の第三者が閲覧することはできません。

また、報告者が情報の開示を特に希望しない限り、MTは報告者の連絡先情報を非公開にすることを約束します。

報告はどう扱われますか?

METTLER TOLEDO PSIRTは、報告された脆弱性がMT製品およびソリューションに与える影響と関連性を徹底的にレビューする中央の学際的なチームです。

MT PSIRTはどれくらい迅速に対応しますか?

通常、報告された脆弱性の受領は2営業日以内に確認されます。MT製品のセキュリティ向上にご尽力いただき、ありがとうございます。

問題の修正にはどのような方針を取りますか?

METTLER TOLEDOでは、セキュリティ上の問題への対応には、当社の安全性およびセキュリティ開発プロセスを産業要件に合わせることがしばしば含まれ、これにより緩和策や修正の実装時期に影響が出る場合があります。このプロセスの間はご辛抱いただきありがとうございます。また、ご希望の場合は、報告者との緊密な連絡を維持します。

多くのMTのコンポーネントおよびシステムはお客様のインフラストラクチャに高度に統合されているため、報告者の方には、情報の開示に関するいかなる対応も当社と調整していただくようお願いしています。これにより、適切な緩和策、回避策、または実際の修正が講じられる前に、情報が時期尚早に公開されることを防げます。

ご理解とご協力に感謝いたします!

結果はどのように公表されますか?

重大度がCriticalまたはHighの脆弱性については、METTLER TOLEDOがCVE(Common Vulnerabilities and Exposures)番号の取得を依頼し、セキュリティアドバイザリはパートナープラットフォームCERT@VDEで公開されます。重大度がMediumおよびLowの脆弱性については、次回製品バージョンのリリースノートに情報が記載されます。

お客様はRSS/Atomフィードへの登録を選択でき、またCERT@VDEでMT製品およびソリューションを直接確認することもできます。

機能安全が危険にさらされる場合などの極端なケースでは、影響を受けるお客様にできるだけ速やかに直接連絡します。当社は各脆弱性を慎重に評価し、責任ある情報開示ポリシーに従っています。まれに、METTLER TOLEDOがMT製品およびソリューションに影響しない脆弱性についてコメントを提供する場合もあります。

アドバイザリーには何が含まれていますか?

アドバイザリは、脆弱性に関する関連事実と履歴を提供し、お客様や関係者が十分な情報を得られるようにします。

有益な情報のためのガイドラインをご覧ください(すべての情報は任意です)

· 個人連絡先(氏名、組織、E-mail、電話番号、国)

· 脆弱性の説明(影響、再現方法、ログファイル、pcap、CWE-ID、該当する場合はCVE-ID)

· 影響を受ける製品名

· 影響を受ける製品のソフトウェアバージョン

· 影響を受ける製品のシリアル番号

· その他のコメント

· 開示(開示を予定していますか、それとも脆弱性はすでに開示されていますか?)

· 当社から連絡してもよいですか、または連絡する必要がありますか?

オープンソースソフトウェア

METTLER TOLEDOでは、オープンソースソフトウェアをデジタル変革の重要な要素として全面的に支持しています。

当社は、この協働的なエコシステムに積極的に貢献しながら、お客様、従業員、そしてより広いコミュニティに利益をもたらすことを目指しています。


METTLER TOLEDOにおけるオープンソースの利用およびライセンス管理についてご質問がある場合は、Open Source Compliance Officer(OSCO)のosco@mt.com.までご連絡ください。

クイックアクセス
サポートは必要でしょうか?
製品担当とオンライン面談予約へ