ヤマハ株式会社(以下、「弊社」といいます)は、弊社製品の安全性および信頼性を確保するため、脆弱性に関するご報告を受け付けております。
弊社は、弊社製品の脆弱性を発見された方に対し、弊社製品の脆弱性に関する情報をご報告いただくためのガイドラインを提供することを目的とし、次のとおり脆弱性開示プログラム(以下、「本プログラム」といいます)を定めます。
本プログラムの対象は、ヤマハネットワーク機器ならびにヤマハネットワーク機器と接続して利用するために弊社が提供するアプリケーションおよびサービス(以下、総称して「対象製品」といいます)といたします。
対象製品に脆弱性があると思われる場合は、以下のリンクに記載された窓口からご報告ください。
なお、ご報告いただく際には、本プログラムに従った脆弱性の報告であることを明記いただくとともに、以下の情報のご提供にご協力をお願いいたします。
弊社は、脆弱性に関する報告を受領した際、以下の流れで対応いたします。
弊社は、報告者から脆弱性情報を受領した旨を、原則として5営業日以内に報告者へ通知いたします。
弊社は、報告された内容をもとに、脆弱性の再現確認、対象製品への影響度を評価し、評価結果を報告者へ通知いたします。この評価で「新しい脆弱性」ではないと弊社が判断した場合、弊社での本プログラム上の対応は終了します。
「新しい脆弱性」ではないと判断する基準は以下のとおりです。
Aの理由で「新しい脆弱性」ではないと弊社が判断した場合、弊社から報告者に対してサードパーティー製ソフトウェアの所有者に対して報告するように通知する場合があります。サードパーティー製ソフトウェアの所有者に脆弱性情報を通知する場合は、サードパーティー製ソフトウェアの所有者が公開している脆弱性開示ポリシー(VDP)に従ってください。
弊社は、必要に応じて、脆弱性への対応策の決定および対応策の公開のための準備を行います。おもな対応策は以下の2つです。
弊社は、ここで決定された対応策および対応策の公開のための準備が完了する時期を報告者へ通知いたします。
弊社は、必要に応じて、脆弱性のCVE番号を取得し、脆弱性の詳細情報および対応策を弊社ウェブサイト上に公開します。公開日は報告者をはじめとする関係者と調整のうえ決定します。
弊社は、脆弱性の公開までに、公開日を報告者へ通知いたします。
弊社は、対象製品に関する脆弱性の内容にかかわらず、報告者への報奨(金銭や物品等)は提供しておりません。
弊社は、本プログラムを必要に応じて改定することがあります。最新版は常に弊社ウェブサイトに掲載されます。
制定:2025年6月1日
ご相談・お問い合わせ