脆弱性情報開示ポリシー

Picture of a lock

脆弱性情報開示ポリシー

BMT Groupは、提供する製品・サービスをお客さまに安心してお使いいただけるよう、本ポリシーに基づきBMT Group製品・サービスに関わる脆弱性情報の収集および影響調査、リスク評価を行い、脆弱性と確認した場合は適切にその情報および対処方法を公表します。情報セキュリティ早期警戒パートナーシップ1やCVEプログラム2にも参画し上記を推進します。

  1. 情報セキュリティ早期警戒パートナーシップ(IPA)(https://www.ipa.go.jp/security/ciadr/partnership_guide.html)
  2. CVEプログラム(https://www.cve.org/)

脆弱性情報の収集

当グループは、提供する製品およびサービスに関する脆弱性情報を積極的に収集しています。BMTグループの製品またはサービスに関する脆弱性を発見された場合は、BMT Cybersecurity Team(cybersecurity@bmtech.com)まで電子メールにてご連絡いただくか、国内外の関係調整機関へご連絡ください。

ご連絡の際には、少なくとも以下の情報をご記載ください。

  • 対象となる製品またはサービスの名称
  • 脆弱性の内容および想定される影響

電子メールでご連絡いただく場合は、PGPによる暗号化をお願いいたします。当グループは、報告(以下「報告者」といいます)を受領後、通常3営業日以内に受領確認を行います。ただし、休業期間等により対応が遅れる場合があります。

なお、報告内容が本ポリシーの対象外であると判断した場合、対応を行わないことがあります。

調査および対策

当グループは、報告された脆弱性情報を速やかにBMTグループ内で共有し、調査を実施します。

調査の結果、BMTグループの製品またはサービスに新たな脆弱性が存在することが確認された場合、当該脆弱性による影響および関連リスクを評価します。その結果、リスク低減が必要と判断された場合には、必要に応じて関係者と調整を行いながら、適切な対策を策定・準備します。

一方で、報告内容が新たな脆弱性に該当しないと判断された場合は、報告者と調整のうえ、対応を終了します。

脆弱性および対策に関する情報は、公開前に第三者へ開示することなく、BMTグループ内で厳重に管理されます。

報告者とのコミュニケーション

当グループは、報告者と適切なコミュニケーションを行い、少なくとも以下の場合には調査および対応状況について報告者へ通知します。

  • BMTグループ製品またはサービスにおいて新たな脆弱性が確認された場合
  • 影響調査またはリスク評価の結果により、当グループの判断や評価が変更された場合
  • 報告者以外の第三者との調整が必要となった場合
  • 公開準備を行う場合
  • 対応が完了した場合

必要に応じて、報告者へご協力をお願いする場合があります。報告者との連絡は電子メールにて行います。通信内容の第三者への漏えいを防止するため、暗号化の利用をお願いする場合があります。

また、BMTグループは、善意に基づく報告または協力を行った報告者に対し、法的措置を講じることはありません。

公開

当グループは、評価結果に基づきリスク低減が必要であると判断した場合、適切な時期に、BMTグループのウェブサイト、JVN、その他の手段を通じて、脆弱性情報および推奨対策を公開します。

公開対象の脆弱性に対してCVE IDが未採番の場合、BMTグループはCNA(CVE Numbering Authority)としてCVE IDを取得し、公開情報に記載します。

また、社会インフラ関連製品・サービスをご利用のお客様など、特定のお客様への影響が想定される場合には、営業担当者その他の手段を通じて個別にご連絡することがあります。

謝辞

BMTグループの製品およびサービスに関する脆弱性の発見または解決にご協力いただいた方については、ご本人の同意を得たうえで、公開時に謝辞を掲載します。

更新履歴

2026年5月1日 公開