脆弱性開示ポリシー

1. はじめに

富士ソフト株式会社（以下「当社」といいます。）は、本ポリシーに基づき脆弱性へ迅速かつ適切に対応し、お客様の安全を確保するとともに、透明性のある情報開示を通じて信頼性の向上に努めます。当社は、IPAが発行する「情報セキュリティ早期警戒パートナーシップガイドライン」に則り、必要に応じてIPAおよびJPCERT/CCと連携し、脆弱性情報の適切な流通と公表に努めています。
本ポリシーでは、次項「2. 適用範囲」に定める当社製品に発見されたセキュリティ上の脆弱性について、その報告窓口や対応プロセス等を記載いたします。

2. 適用範囲

本ポリシーは、当社が提供する以下URLに掲載されている製品に適用されます。
https://fsi-plusf.jp/products/
なお、上記に該当する製品であっても、お客様自身が加えられた変更による脆弱性は対象外となります。

3. 報告窓口

製品の脆弱性を発見した場合、以下の窓口からご連絡をお願いいたします。
製品の脆弱性に関するご連絡

4. 当社の対応プロセス

・報告の受け付け
　・報告内容の受領確認のお知らせをメールにて返信いたします。
　・返信は5営業日以内を目安といたします。当社所定の休業日（年末年始休暇、ゴールデンウィーク、夏季休暇等）の期間中は、ご連絡が遅れる場合がございます。
・調査
　・製品開発部門にて報告内容を検証いたします。必要に応じて追加情報の提供を依頼する場合がございます。
　・調査結果は、原則としてご報告者様に対してご連絡いたします。
　・なお、各製品ごとに定めているサポート期間が終了している場合は、調査を行わない場合がございます。
・修正と公開
　・新規の脆弱性であると確認された場合、迅速に修正対応を行います。
　・この際、「情報セキュリティ早期警戒パートナーシップ」に基づき、IPAおよびJPCERT/CCと協力し、JVNでの公表やCVE採番を含む調整を適切に実施します。
　・公開準備が整い次第、「公表日一致の原則」に沿って、ご報告者様および関係者様と公開日を調整し、当社ウェブサイトにて公開します。

5. その他

報告者が本ポリシーの範囲で誠実に調査・報告を行った場合、当社はその行為を善意によるものとみなし、法的責任は問わないものとします。