QNAP 製品のセキュリティ脆弱性をレポート
開発者やパワーユーザーは潜在的あるいは確認した QNAP 製品の脆弱性をセキュリティ対応チームに報告することを強くお勧めします。メールメッセージの暗号化に以下の PGP 暗号公開鍵をご利用ください。security@qnap.com.
PGP 暗号公開鍵
QNAP へのセキュリティ脆弱性の報告にあたっては、メールを以下の PGP 暗号公開鍵で暗号化することをお勧めします。
よく寄せられる質問
いつ security@qnap.com へメールすべきですか?
- QNAP 製品にセキュリティ脆弱性が見つかった時にお願いします。
security@qnap.com へメールすべきでないのはいつですか?
- 技術的支援が必要な場合 (たとえば NAS システム更新の設定や RMA リクエストの方法を尋ねる)
- すでに一般に知られている脆弱性の報告 (たとえばセキュリティ アドバイザリにすでに掲載されているなど)
- セキュリティ脆弱性に対応して公開されたパッチのインストールについて技術支援が必要な時
- 他のベンダーの製品による脆弱性を報告したり、他のベンダーの製品の脆弱性に関する情報情報を得ようとする時
- qnap.com 以外のウェブサイトで見つけたセキュリティ脆弱性を報告する時
- 製品のセキュリティに関係しない問題のアドバイスを求める求めると時。
- モバイルデバイスで見つかったマルウェアを報告する時
上記の状況に対しては、QNAP のテクニカルサポートチームにご連絡ください。テクニカルサポートチームへは http://helpdesk.qnap.com/ から連絡できます。テクニカルサポートチームが必要と判断した場合は、その内容はセキュリティ対応チームに回されます。
security@qnap.com にはどのような情報を送ればよいのですか?
- QNAP 製品のセキュリティ脆弱性をお伝えいただく場合は、ハードウェアモデル名、QTS/QES のバージョン、脆弱性が存在するアプリの名前とバージョン、脆弱性の説明、脆弱性を再現する手順など、できるだけ多くの情報をお知らせください。QNAP に連絡する際には、メールの完全性と信頼性を確実にするためにこのページを PGP 暗号化公開鍵を使用することをお勧めします。
こちらからのレポートを受け取った後、QNAP はどのような対応をするのですか?
- QNAP 製品 セキュリティ インシデント対応チームは、受け取った情報を徹底的に分析・調査します。通常、ご報告いただいた内容の受領に関して 3 営業日以内に確認の返信を差し上げ、その後、報告された問題の調査と検証を開始します。ご報告が QNAP によって確認された場合、QNAP は必要に応じてパッチ(Qfix)または関連ソフトウェアの更新版をリリースします。パッチおよび更新版は、一般的にご報告から 90 日以内にリリースされますが、問題の複雑さによってはそれ以上の時間が必要になる場合があります。対応する セキュリティ 勧告の記事も掲載されます。当社はメールのやり取りやメールアドレスを第三者に転送することは決してありません。また、お客様を特定するために使用できる個人情報(お客様の身元、お仕事、使用している機器やデプロイした設定など)を要求したり、開示したりすることもありません。
サイバー犯罪からの攻撃リスクを下げるため、QNAPはパッチ配布やセキュリティアドバイザリーを提供する前に、脆弱性が存在することは発表いたしません。QNAP製品の使用に当たっては、QNAP推奨事項に従うことで、ネットワークのセキュリティを確実にできます。採用されるQNAPサービスについては、QNAPウェブサイトからセキュリティパッチおよびセキュリティアドバイザリーを取得し、定期的にソフトウェアのアップデートを行ってください。また、最新のセキュリティのニュースを取得されるよう、QNAPからセキュリティアドバイザリーの定期講読をお勧めいたします。
お客様を保護するため、QNAPは調査が行われ、パッチまたはリリースが一般的に利用可能になるまで、セキュリティ問題を開示、議論、または確認することはありません。
