脆弱性の報告
製品セキュリティ脆弱性の報告
Lenovo は、お客様とそのデータを保護するために、最高のセキュリティ標準に準拠した製品とサービスの開発に取り組んでいます。Lenovo は、セキュリティ研究者、学者、および広範なセキュリティ コミュニティのその他の方々からの潜在的なセキュリティ脆弱性に関する情報を歓迎します。
Lenovo の Product Security Incident Response Team (PSIRT) は、そのような脆弱性をご指摘くださる方々と連携するとともに、関連するすべてのご提案/お問合せに 2 営業日以内に返答いたします。PSIRT は、問題を調査し、修正プログラムを開発または調達します。その後、それらの修正プログラムを Lenovo のお客様にできる限り迅速に提供いたします。Lenovo は当社の CVE Number Authority Information Sharing and Embargo Policy に従って、CVE 識別子を割り当てる場合があります。
CVE Number Authority (CNA) Information Sharing and Embargo Policy
Common Vulnerabilities and Exposures (CVE®) は、公に知られている情報セキュリティ脆弱性識別子で、MITRE Corporation によって管理されています。 CVE 識別子は、1 つのセキュリティ脆弱性を示し、これを使うことによって、ベンダー、研究者、およびお客様は特定の脆弱性について語ることができます。
Lenovo は、製品の脆弱性の情報が予想できない期間中公開されない場合でも、Lenovo 製品の脆弱性に CVE 識別子を割り当てます。 Lenovo は、CVE リクエストから、交渉された公開日までの期間として定義される制限期間中は、発見者は機密を守る必要があります。発見者は公開日には公に功績を認められます。
この CNA のポリシーでは、利害関係があると見られる人には、CVE ID リクエストは表示されません。CVE ID リクエストは、Lenovo の従業員または下請け業者が読むことができます。CVE ID をリクエストまたは使用したり、CVE のある可能性のある製品を生産または販売したりするその他の組織に勤務する方は除きます。
これらの手順を注意して読み、発見されたセキュリティ脆弱性が Lenovo 内の適切なチームに報告されることを確認してください。
Lenovo では、常にプラットフォーム ソフトウェア (BIOS、BMC/TSM、FW など) の最新バージョンのリビジョンを実行することをお勧めしています。そのため、Lenovo は support.lenovo.com で入手可能な最新バージョンに対してのみ、セキュリティ脆弱性を評価します。
Lenovo PC、タブレット、またはアクセサリに影響する製品セキュリティ脆弱性については、psirt@lenovo.com まで電子メールをお送りください。Lenovo の Product Security Incident Response Team の PGP キーを使用して、機密情報を暗号化できます (PGP 公開キーをダウンロードするには、こちらをクリックしてください。Lenovo または Motorola の電話製品に影響するセキュリティ脆弱性を報告するには、secure@motorola.com に電子メールをお送りください。できるだけ多くの情報を提供してください。影響を受けた製品の名前とバージョン、脆弱性に関する詳細な説明、および既知の攻撃に関する情報などを含めてください。また、機密の問題について通信するために、ご使用の PGP キーも含めてください。詳細については、Lenovo の Vulnerability Disclosure Policy を参照してください。
Lenovo の Website で検出された脆弱性については、lsrc@lenovo.com まで電子メールをお送りください。
オペレーティング システム (OS) のセキュリティ脆弱性については、ご使用のオペレーティング システムのベンダーに連絡することをお勧めします。
製品の紛失や盗難の報告やテクニカル サポートが必要な場合は、Support Phone List で製品ごとの問い合わせ先情報を参照してください。
最新の脆弱性に関する情報については、現在の Lenovo の Product Security Advisories サイトをご覧ください。