Information security情報セキュリティ
セキュリティへの取り組み
三菱電機モビリティ株式会社(以下、「当社」といいます)では、提供する製品・サービスに関連する情報システム(IT)および生産設備/工場設備(OT)に対するサイバー攻撃から機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の侵害リスクを評価し、顧客を含むステークホルダーに大きな被害や影響を与えないように適切な対策を講じることを責務と考えます。
当社は、生産活動に関わる全ての部門をカバーするセキュリティ体制を構築することで、平時(サイバー攻撃の未然防御)および有事(サイバー攻撃の被害最小化)の両方に効果的に対応します。さらに、このセキュリティポリシー自体も定期的に見直し(年に1回、さらに重大なセキュリティインシデントが発生した場合)、最新のセキュリティ状況に対応した適切な対策を講じることを確約します。
法令遵守
当社は、情報・工場セキュリティに関する各国の法令を遵守します。また、当社「個人情報保護方針」に基づき、個人情報について適切な保護措置を講じます。
体制
当社は、情報・工場セキュリティに関する活動を司る体制として、CSIRT/FSIRT(Computer/Factory Security Incident Response Team)を設置します。
教育訓練
当社は、情報・工場セキュリティに関する知識・技術の向上と、活動を徹底する風土醸成のために、生産活動に関わる全ての従業員に対して、情報・工場セキュリティに関する教育や啓発などの施策を継続的に実施します。
サイバー攻撃の未然防御
当社は、平時の情報・工場セキュリティリスクを管理する体制を整備し、事故発生に至らないよう、情報収集と共有を行います。また、国際規格や業界ガイドラインの要件を情報システムや生産設備/工場設備に織り込んでまいります。
問題発生時の対応(有事)
当社でセキュリティ上の問題が発生した場合は、原因究明と是正措置を講じ、再発防止に努めるとともに、関係するお客様への情報提供を行います。また、必要に応じて三菱電機を通じて関係当局への報告も行います。
リスク評価と管理
当社は、情報・工場セキュリティリスクを定期的に評価し、管理します。この評価、管理は、情報セキュリティ、物理的セキュリティ、人的セキュリティなど、全てのセキュリティ要素を包括します。評価、管理にはリスクベースアプローチを採用し、新たに発見された脆弱性や新たな脅威に対して、その効果を評価します。
三菱電機モビリティ株式会社(以下、「当社」といいます)では、提供する製品・サービスに関係するセキュリティ(以下、「製品セキュリティ」といいます)を確保し、お客様に大きな被害や影響をもたらさないように、適切な対策を講じることが責務と考えます。
当社は、お客様に安心して製品・サービスをご使用いただくために、製品・サービスに関係する全ての従業員に対して製品セキュリティの重要性を周知徹底させ、以下の取組みの実行と、定期的な点検、見直しによる改善・維持に努めてまいります。さらに、製品セキュリティポリシー自体も定期的に見直し(年に1回、さらに重大なセキュリティインシデントが発生した場合)、最新のセキュリティ状況に対応した適切な対策を講じることを確約します。
法令遵守
当社は、製品セキュリティに関する各国の法令を遵守します。また、当社「個人情報保護方針」に基づき、個人情報について適切な保護措置を講じます。
体制
当社は、製品セキュリティに関する活動を司る体制として、PSIRT(Product Security Incident Response Team)を設置します。
教育訓練
当社は、製品セキュリティに関する知識・技術の向上と、活動を徹底する風土醸成のために、製品・サービスに関係する全ての従業員に対して、製品セキュリティに関する教育や啓発などの施策を継続的に実施します。
製品開発
当社は、製品セキュリティに関連する業界標準の規格やガイドラインの要求および検証方法を適宜適切に製品開発に取り入れていきます。
問題発生時の対応
当社製品にセキュリティ上の問題が発生した場合は、原因究明と是正措置を講じ、再発防止に努めるとともに、関係するお客様への情報提供を行います。
リスク評価と管理
当社は、製品のセキュリティリスクを定期的に評価し、管理します。この評価、管理は、製品設計、製造、運用など、全ての製品ライフサイクルを包括します。評価、管理にはリスクベースアプローチを採用し、新たに発見された脆弱性や新たな脅威に対し、その効果を評価します。
三菱電機及び当社における情報・工場・製品セキュリティの管理体制を以下に示します。当社では、MELMB-CSIRT, MELMB-FSIRT, MELMB-PSIRTを配置し、三菱電機と協力しながら情報・工場・製品セキュリティに対して取り組んでいます。
三菱電機モビリティ(以下、「当社」といいます。)は、製品のセキュリティを確保し、サイバー攻撃からお客様を守るために、「ISO/IEC 29147」及び「情報セキュリティ早期警戒パートナーシップガイドライン*1」に基づき、製品の脆弱性に関する情報を以下のプロセスで公開いたします。
*1 情報セキュリティ早期警戒パートナーシップガイドライン(IPA発行)
https://www.ipa.go.jp/security/ciadr/partnership_guide.html (新しいウィンドウが開きます)
脆弱性に関する情報の入手
当社は製品の情報セキュリティ品質向上のために、社外のセキュリティ研究者や調整機関(国内外のCERT*2など)から製品の脆弱性に関する情報を収集しております。製品の脆弱性に関する情報は、調整機関へご連絡いただくか、以下の連絡フォームへご連絡ください。
*2 Computer Emergency Response Team
三菱電機製品脆弱性受付窓口(連絡フォーム)
https://www.mitsubishielectric.co.jp/psirt/contact/
連絡フォームからの脆弱性に関する情報の受信を確認後、受信日を起点として5営業日以内に、受領した旨をご報告者様にご連絡いたします。年末年始休暇、ゴールデンウィーク、夏季休暇等の期間中はご連絡が暫く遅れますこと、ご容赦願います。
上記の脆弱性受付窓口では、未公開の脆弱性に限り情報を受け付けております。当社ウェブサイト(mitsubishielectric-mobility.com)の脆弱性に関する情報につきましては、MELCO-CSIRT*3までご連絡ください。また、当社以外の製品につきましては、各製造元までご連絡いただけますようお願いいたします。
連絡フォームはSSL/TLSによって暗号化されております。連絡フォームからご連絡いただいた後のご報告者様とのコミュニケーションは電子メールにて行います。電子メール及び添付ファイルに未公開の脆弱性に関する機微な情報を含む場合は、情報の第三者への意図せぬ開示を防ぐため、PGP公開鍵をご利用いただき、メールの暗号化にご協力いただけますようお願いいたします。なお、PGP公開鍵は、連絡フォームからご連絡いただいた方に別途通知いたします。
*3 MELCO-CSIRT
https://www.nca.gr.jp/member/melco-csirt.html
調査及び対策
ご連絡いただいた製品の脆弱性に関する情報は、当該製品の設計・開発部門にて確認を行い、以下の3点が確認された場合には、新規の脆弱性であると判断し、確認後速やかにご報告者様に確認結果をご連絡いたします。なお、確認にあたり、必要に応じて追加の情報提供をお願いする場合があります。
- 製品のセキュリティに影響のある問題であること
- 再現性があること
- 未公開であること
新規の脆弱性であることが確認された場合は、対策の実施と情報公開の準備を行います。新規の脆弱性ではないことが確認された場合は、ご報告者様との合意のうえ、対応を終了いたします。
セキュリティアドバイザリの公開
当社製品の新規の脆弱性であることが確認された場合は、お客様が適切な対策を講じることを可能とするために、情報の公開準備が整い次第、ご報告者様をはじめとする関係者様と公開日を調整のうえ、CVE番号を採番し、以下の三菱電機ウェブサイトにてセキュリティアドバイザリを公開いたします。
脆弱性に関する情報
https://www.mitsubishielectric.co.jp/psirt/vulnerability/index.html
また、公開と同時にJPCERT/CC*4及び必要に応じ海外のCERTへ脆弱性の届け出を実施いたします。情報セキュリティ早期警戒パートナーシップガイドラインに基づき、原則としてご報告者様、調整機関、当該製品開発者以外の第三者へ公開前の脆弱性に関する情報を開示いたしません。
*4 Japan Computer Emergency Response Team Coordination Center
当社製品の脆弱性の発見または解決に貢献いただいた方に対しては、謝辞の掲載に同意いただいたうえで、対象のセキュリティアドバイザリに謝辞を掲載いたします。同一の脆弱性について、複数の個人・団体からご連絡いただいた場合は、最初のご報告者様に対して謝辞を掲載いたします。