1. 目的と適用範囲

目的:
当社が提供する IoT 製品・関連サービスにおける脆弱性を、受領・評価・是正・開示まで一貫して迅速かつ透明に取り扱い、製品利用者の安全性と信頼を確保します。JC‑STAR★1（レベル1）の適合取得・維持に必要な最低要件を満たし、申請・更新・監査に耐える運用を確立します。

適用範囲:
当社が製造・販売・保守するインターネット通信機能を有する IoT 製品（ファームウェア、デバイスOS、付属アプリ、クラウド連携機能を含む）および配布物（アップデート、ドキュメント、アドバイザリ）。

2. 役割と責任

経営層（CISO）: 本ポリシーの承認、資源配分、重大リスクの最終判断、対外説明の統括。
セキュリティオフィス〔所管〕: 受領窓口の運用、トリアージ、CVSS採点、是正計画の策定、アドバイザリ原稿の作成、公開までの全体進行管理。
開発部門（製品別オーナー）: 技術調査（再現/影響分析）、修正の実装・検証、回避策の提示、リリース作業。
品質保証（QA）部門/検証: 修正のテスト計画と実証、回帰試験、署名・パッケージングの検証。
サプライチェーン管理/購買部門: サードパーティ部品・OSSのSBOM管理、ベンダ連携・依存リスクの把握。
広報・サポート部門: 顧客通知、FAQ/ナレッジの整備、問合せ一次対応、公開後のモニタリング。
法務・コンプライアンス部門: 契約・知財・出口規制・個人情報影響への助言、対外開示文面のリーガルレビュー。
情報システム（社内IT）部門: 受領基盤（チケット/メール/フォーム）の維持、安全なファイル授受（PGP等）の提供。

3. 脆弱性情報の収集・評価方法

3.1 情報収集（継続的モニタリング）
一次ソース：当社報告窓口、社内テスト、バグバウンティ/協調開示報告。
二次ソース：国内外の脆弱性ポータル、関連ベンダ・OSSのアドバイザリ、CWE/OWASPの最新動向、CERT/CSIRT各種アラート。
製品固有：当社SBOMと脆弱性データベースの照合。

3.2 受領～トリアージ
受付SLA：営業日内に受領自動応答、1営業日以内に確認、対応を行います。
再現性/影響評価：攻撃経路、必要権限、ユーザ操作、CIAへの影響、既知悪用の有無、露出面等を整理します。
スコアリング：原則 CVSS v3.1 を適用します。
重複・既知確認：CVE/JVN/NVD の既存エントリ照会、当社既知欠陥DBとの比較、調査、確認を行います。

3.3 是正の妥当性確認
修正案のセキュリティレビュー、QAによる回帰試験、署名/改ざん防止確認、配布チャネルの整合性を確認します。

3.4 協調開示（CVD）の原則
報告者と誠実に連携し、公開前に修正/緩和策を準備します。公開時はアドバイザリ、更新入手方法、影響範囲、回避策、連絡先を明示します。

4. 対応優先度の基準（CVSSなど）

4.1 深刻度区分（社内基準）
Critical：CVSS 9.0–10.0
High：CVSS 7.0–8.9
Medium：CVSS 4.0–6.9
Low：CVSS 0.1–3.9

4.2 追加の優先度補正因子
既定で有効な機能か否か、ユーザ操作要否、認証回避の有無、ワーム化可能性、セキュリティへの影響、法令/規約違反リスクの有無。

5. 対応期限と報告ルール

5.1 対応SLA（目安）
Critical: 初動=1営業日以内, 緩和策=7日以内, 修正=30日以内, 公開=確定後24–48時間以内
High: 初動=2営業日以内, 緩和策=14日以内, 修正=45日以内, 公開=確定後後速やかに
Medium: 初動=5営業日以内, 緩和策=30日以内, 修正=90日以内, 公開=定期リリースノート
Low: 初動=10営業日以内, 緩和策=90日以内, 修正=次期計画リリース内, 公開=リリースノート

5.2 内部報告と意思決定
重大事案はCISOへ即時エスカレーション。外部開示文案はセキュリティオフィス起案 → 技術/QA/法務レビュー → CISO承認。

5.3 顧客・パートナー通知
影響顧客には登録メール配信で告知。

5.4 連絡窓口・公開情報
受領窓口：security@eflow-ess.com
更新取得方法：受領窓口から連絡

5.5 ユーザ向けアップデート手順
当社は、セキュリティ更新をユーザが簡単に適用できるよう、以下の複数の便捷な方法を提供します。
1. 自動更新（推奨）
対応機種では、重要なセキュリティ更新を自動的にダウンロード及びインストールする機能を提供します。ユーザはデバイスの設定で此の機能を有効/無効にできます。自動更新失敗時，システムは次回の機会に再試行するとともに，管理界面に通知します。
2.管理界面からの更新
ユーザはデバイスのローカルWeb管理画面にログインし、「ファームウェアアップデート画面」セクション内の「更新をチェック」ボタンをクリックするだけで、当社サーバから直接最新版を検索・ダウンロードし、インストールを実行できます。
3.公式サイトからの手動更新
ユーザは当社サポートサイト（ https://www.eflow-ess.com/support/downloads/ ）の該当製品ページから直接更新ファイルをダウンロードし，管理界面の「ファームウェアアップデート画面」からインストールできます。

公式サイトからの手動更新詳細なステップバイステップの手順は、製品マニュアルとサポートサイトのナレッジベースで提供しています。
セキュアなインストールのための完全性検証：当社のすべてのソフトウェアアップデートは、インストール前およびインストール中に完全性と真正性が検証されます。検証に失敗した場合、インストールプロセスは直ちに中止され、ユーザに警告を表示します。
1. 自動更新（推奨）及び管理画面からの更新
ファームウェア更新ファイルをダウンロード後、インストール実行前に、デバイス内蔵のセキュリティモジュールがデジタル署名の検証を自動的に実行します。この検証には、電子政府推奨暗号リスト（CRYPTREC）に掲載されているRSA-PSS署名アルゴリズムとSHA-256ハッシュ関数を採用しています。
2. 公式サイトからの手動更新
ユーザがダウンロードした更新ファイルについても、デバイスは「手動更新」オプション選択後、インストール前に上記と同様のデジタル署名検証を実施します。また、サポートサイトの各製品ダウンロードページには、ファイルのSHA-256ハッシュ値を公開しており、ユーザがダウンロード後に任意で整合性を確認できるようにしています。

6. 記録・監査・改善

6.1 記録
受領～クローズまでの記録を最低3年間保管。製品別ダッシュボードで KPI を可視化します。

6.2 監査
年1回以上の内部監査。JC‑STAR★1チェックリストに基づき自己評価とエビデンスを更新します。

6.3 継続的改善
SBOMの網羅性向上、脆弱性情報の自動相関、安全な更新機構の強化。外部関係者からのフィードバックを四半期ごとにレビューします。

7. ポリシーの公開

本脆弱性対応ポリシー（脆弱性開示ポリシー）は、当社のセキュリティ慣行を透明にするため、以下の公開場所で一般のユーザがアクセス可能な状態で掲載されます。
公開URL: https://www.eflow-ess.com/policys/
本ポリシーは適宜見直され、更新されます。最新版は上記URLでご確認ください。