プロダクトセキュリティ

プロダクトセキュリティとは

私たちは、製品・サービスで取り扱うお客様情報を攻撃者から守る活動を「プロダクトセキュリティ」と呼んでいます。

リコーグループの取組みについて

株式会社PFU(以下 PFU)は、リコーグループの一員であり、リコーグループのプロダクトセキュリティのポリシーに準じた対応を行います。

生活の場所や働く場所のデジタル化が進み多くのモノ・コトが繋がる環境へと変化しています。こうした中、高度化・巧妙化しているサイバー攻撃はサプライチェーンの中の脆弱な箇所を標的としています。

このような背景を踏まえ、リコーグループは、お客様に安心して製品・サービスをご利用いただけるよう、開発段階からセキュリティ設計をし、発売後も脆弱性の早期発見・早期対応を目的とし、以下を取り組んでいきます。

  • デジタル技術の進歩・革新に追随するセキュリティ技術を習得します
  • プロダクトセキュリティを実践する体制を構築します
  • 国際的な標準に準拠したグループ内基準を整え、セキュリティに関する品質を維持し続けることに努めます
  • セキュリティに考慮した製品、サービスの開発とセキュリティ検査で脆弱性混入と流出の防止に努めます
  • 脆弱性に関する情報を収集し、製品・サービスに影響がある場合は適切に対処します
  • お客様にとって有益な製品・サービスのセキュリティに関する情報を提供します

開発フェーズのセキュリティ方針と取り組みについて

リコーグループは、製品・サービスのお客様やご利用者様に安心してご利用いただくために、製品・サービスのライフサイクル全体のセキュリティを企画・設計の段階から考慮するセキュリティバイデザインを「ISO/IEC27034-1:2011(Application security — Part 1: Overview and concepts)」に基づき実践してまいります。

セキュリティ開発ポリシー

リコーグループは、セキュリティ開発体制を構築し、製品・サービスの開発時に脆弱性の混入と流出を防止するための対策を実践してまいります。

脆弱性の混入防止

製品・サービスの脅威へのセキュリティ対策の設計し、セキュリティ対策を正確かつ安全に実装します。

脆弱性の流出防止

脆弱性診断を実施し、脆弱性が見つかった場合は必要な対策を講じます。

セキュリティ開発の行動指針

リコーグループは、脆弱性の混入と流出を防止するために、次に示す各事項をグループ規定とし実践するとともに、研鑽してまいります。

セキュリティ要件定義

セキュリティで保護すべき情報と機能(以下、保護対象)、セキュリティ対策を取る運用環境、製品・サービスの特性に適合したセキュリティリスク低減の目標値を決定します。

セキュリティ設計

セキュリティ要件に応じた、保護対象への脅威を抽出し、脅威の発現を軽減するためのセキュリティ機能や安全な運用環境・運用方法(セキュリティ対策)を設計します。

また、脅威に対抗するセキュリティ機能は、それ自体の無効化や性能低下を引き起さないプログラムの構造・仕組み(セキュリティアーキテクチャ)を取り入れて設計します。

セキュアコーディング

実装時に脆弱性を作り込まないよう、安全なコード作成をルール化し、そのルールにしたがってプログラミングします。

また、作成したプログラムはルールに従っていることを静的解析で確認します。

セキュリティ検査

製品・サービスの特性に応じたセキュリティ検査を実施し、脆弱性が見つかった場合は必要な対処をします。

運用フェーズのセキュリティの方針と取り組みについて

リコーグループは、市場提供後の製品・サービスに影響する脆弱性を早期に発見して早期に対応するために「ISO/IEC 29147(脆弱性の公開)」、及び「ISO/IEC30111(脆弱性取扱いプロセス)」に基づき、脆弱性に対応してまいります。

脆弱性の処理および開示のポリシー

リコーグループは、製品・サービスのご利用者様に安心してご利用いただくために、セキュリティインシデント対応体制を構築し、脆弱性情報の入手、脆弱性の評価と対策、および脆弱性対処情報の開示を実施してまいります。

脆弱性情報の入手

リコーグループは、グループ内外から広く早く脆弱性情報を入手し、脆弱性を評価・対策する開発部門と情報を共有します。

脆弱性の評価と対策

開発部門は、脆弱性を評価した上で、製品・サービスに影響する脆弱性であることを確認した場合は、対策を実施し、お客様の製品・サービスへの対策手順を準備します。

脆弱性対処情報の開示

リコーグループは、脆弱性情報とその対策方法 (回避方法の場合を含みます) を脆弱性対処情報とし、その情報を必要とする方へ、「対策情報同時開示の原則※1」と「情報開示日一致の原則※2」に従い、適切な時期に開示します。

  • 1:脆弱性情報の開示の時点で、対策方法も同時に提供することです。対策方法が整う前に脆弱性を情報開示してしまうと、脆弱性を悪用する攻撃コードが悪意ある第三者によって開発されて流通し、お客様へのサイバー攻撃に使われる可能性があるからです。
  • 2:他社の製品・サービスにも影響がある脆弱性の場合に、関係者間で一定の足並みをそろえて情報開示することです。関係者間で調整された情報開示日を待たずに、単独で情報開示してしまうと、他社の製品・サービスをご利用のお客様をサイバー攻撃の危険にさらしてしまうことになるからです。

脆弱性の処理および開示の行動指針

脆弱性情報の入手

リコーグループは、グループ内外から脆弱性情報を入手し、脆弱性管理システム※3を利用して、脆弱性情報の評価と脆弱性の対策を担当する製品・サービスの開発部門と共有します。

  • リコーグループ内の脆弱性情報入手
    製品・サービスの特性に応じたセキュリティ検査を製品・サービスのライフサイクルを通して継続的に実施します。
  • リコーグループ外からの脆弱性情報入手
    製品・サービスのご利用者様、セキュリティ研究者、セキュリティ関連情報の収集・配信機関(JPCERT/CC※4など)からプロダクトの脆弱性に関する情報を収集します。
  • 3:脆弱性を情報入手から対策完了まで管理するリコーグループ内システム
  • 4:Japan Computer Emergency Response Team Coordination Centerの略。一般社団法人JPCERTコーディネーションセンターの略称。コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う
脆弱性の評価と対策

製品・サービスの開発部門は、脆弱性管理システムで受けた脆弱性の製品・サービスへの影響を評価し、製品・サービスに影響する脆弱性であることを確認した場合は、必要なセキュリティ対策を実施した上で、脆弱性情報と対策方法を脆弱性対処情報として準備します。

脆弱性対処情報の開示

リコーグループは、製品・サービスへの影響を知っていただく必要がある方、脆弱性に対処いただく必要がある方へ情報が行き届くよう、脆弱性対処情報を開示いたします。開示時期は、JPCERT/CCと調整する場合があります。

製品・サービスの脆弱性情報のご連絡について

PFU製品の脆弱性を発見された場合、セキュリティに関するお問い合わせは、下記に示す専用の窓口よりご連絡をお願いいたします。

お問い合せ対象となるPFU製品は、リコーブランドのイメージスキャナー「fiシリーズ」「SPシリーズ」「ScanSnap」、及び、PFUブランド製品です。ご不明の場合は製品付随のマニュアルをご確認ください。

脆弱性に関する情報の場合、ご報告いただいた情報を調査し、ご本人様へ調査結果をご連絡いたします。
尚、ご報告いただいた方には、必要に応じて追加の情報提供や情報開示日の調整をお願いする場合があり、対応状況についても適切なタイミングで報告いたします。

お問い合わせ窓口

お問い合わせ窓口からご連絡いただいた後のご報告者様とのコミュニケーションは電子メールにて行います。
電子メール及び添付ファイルに未公開の脆弱性に関する機微な情報を含む場合は、情報の第三者への意図せぬ開示を防ぐため、PGP公開鍵をご利用いただき、メールの暗号化にご協力いただけますようお願いいたします。
なお、PGP公開鍵は、連絡フォームからご連絡いただいた方に別途通知いたします。

ご報告をいただいた方への謝辞について

PFU製品・サービスに影響する脆弱性をお問い合わせ窓口からご報告いただいた方に対しては、謝辞の掲載に同意いただいた場合、対象の脆弱性対処情報に謝辞を掲載いたします。

同一の脆弱性について、複数の個人・団体からご連絡いただいた場合は、最初のご報告者様に対して謝辞を掲載いたします。

製品・サービスの脆弱性対処情報の提供

リコーグループは、製品・サービスの脆弱性対処情報を、その情報を必要とする方に発信いたします。

広く公開すべき脆弱性対処情報は、本ウェブページに掲載いたします。

脆弱性ごとの情報リスト

2024年4月1日以降は脆弱性情報を本ページに掲載する予定です。お客様にとって重要と判断した場合は、従来と同様に「重要なお知らせ」にも掲載いたします。