GE HealthCare Coordinated Vulnerability Disclosure Statement v2.1(GE HealthCare脆弱性開示協調説明書v2.1)

2023年8月更新

GE HealthCare、責任あるセキュリティ研究を奨励

GE HealthCareでは、特に医療機器業界とヘルスケアエコシステム全体の両方において、セキュアな設計の実践とセキュリティリスクの軽減を促進する上でセキュリティ研究者が果たす重要な役割を認識しています。当社はセキュリティ研究者の業務を尊重しており、検出された脆弱性や提案された開示について当社と連携し責任ある形で積極的に関与することを奨励しています。本書には、GE HealthCare製品のセキュリティ研究を実施する研究者が当社および他者とのやり取りにおいて当社が期待することと、研究者が当社に期待できることの両方が記載されています。

目的

GE HealthCare Coordinated Vulnerability Disclosure Program(GE HealthCare脆弱性開示協調プログラム)の目的は、GE HealthCare製品の潜在的な新しい脆弱性の調査と開示を調整することです。セキュリティ研究者とGE HealthCareの共同目標は常に、発見された脆弱性の影響を受ける運用環境全体十分に考慮しながら、常にリスクを軽減することです。

適用範囲

このCoordinated Vulnerability Disclosure Statement(脆弱性開示協調説明書)は、GE HealthCareのすべての市販製品に適用されます。

このプロセスは、GE HealthCare製品内の潜在的な新しい脆弱性を報告するために使用します。オペレーティングシステムやその他のサードパーティコンポーネントの脆弱性は、このプロセスで報告しないでください。

必須条件の報告

セキュリティ研究者は、初期研究および検査を含む研究および開示プロセス全体を通じて、以下の必須条件を順守しなければなりません。

  • お住まいの地域およびGE HealthCare製品が設置されている地域に適用されるすべての法律および規制を遵守すること。
  • 脆弱性を用いて不適切な措置を講じないこと。例えば脆弱性の存在を証明すること以外に脆弱性を利用すること、製品から機密データを削除すること、あるいは製品の今後の使用においてさらなる脆弱性を生むバックドアの作成などです。
  • 患者に害を与えるリスクのあるシステムの研究または試験に携わらないこと。
  • 特定の患者の診断、治療、ケア、またはモニタリングに製品が使用されている、あるいは使用されるおそれのある臨床環境またはその他の実際の環境で、製品またはネットワークインフラストラクチャの試験を行わないこと。
  • 臨床環境において今後使用することを予定されている製品はすべて、試験完了時に原状復帰すること。サービス支援については、GE HealthCareにお問い合わせください。
  • 試験を行う前には、試験対象範囲が明確であることを確認するために、必ずGE HealthCare製品の所有者から書面による許可を取得してください。本製品がGE HealthCareからリースされている場合、GE HealthCareと借主の両方から許可を取得する必要があります。
  • GE HealthCareと相互合意した期限が切れるまでは、脆弱性の詳細を一般公開しないこと。
  • 本書に記載された範囲外で実施しないこと。
  • 発見されたいかなる脆弱性についても、規制機関または他の第三者とやりとりをする場合は、遅滞なくその詳細を当社に報告すること。

脆弱性の報告方法

GE HealthCareの製品セキュリティチームに脆弱性を提出するには、(GEHealthcareCVD@GE.com)に電子メールを送信してください。弊社のPGPキーまたはその他の適切な暗号化ツールを使用して機密情報を保護してください。機密データ(個人を特定できる患者データなど)が報告の本文または添付文書(スクリーンショット、画像、ログファイルなど)に含まれないようにしてください。

このCVD電子メールは、すでに開示されている脆弱性や、(GE Healthcare 製品ソフトウェア内ではなく)サードパーティコンポーネント内の脆弱性に関連する問い合わせには使用されません。以前に開示された脆弱性に関する情報は、GE HealthCare製品セキュリティポータルで入手するか、GE HealthCareサービス担当者を通じて要請できます。

選好、優先度、受理の基準

当社からの要請および当社に対して期待できること:

  • 明快な内容の英文のレポートは問題解決の可能性が高くなります。
  • 製品の地理的所在地、正確なモデル番号とシリアル番号、ソフトウェアリビジョンおよびシステムの入手方法など必要不可欠な詳細が記載されていると優先順位が高くなります。
  • 概念実証コードが含まれるレポートはトリアージに役立ちます。
  • 本書の範囲内ではない製品または環境に関するレポートは優先されません。
  • 脆弱性の発見方法、確認された影響、CVSSスコアに対する考察、修復案に関するすべての情報を含めることは、当社とのやりとりの効率化に役立ちます。
  • 当社に脆弱性を開示する目的または一般開示の意図を記載してください。
  • 現在使用中のGE製品に関する苦情を報告するために、このチャネルを使用しないでください。使用中のGE HealthCare製品の安全性または性能に関するお客様の苦情はすべて、GE HealthCareサービス担当者に直接お申し出ください

当社に対して期待できること:

  • 4営業日以内にメッセージ受信の確認通知を送ります。
  • 初期トリアージと評価の次の段階では、GE HealthCare製品セキュリティチームの適切なメンバーが次の目的でお客様に連絡することがあります。
    • 追加情報の要請
    • 予想されるプロセスとスケジュールの通知
    • 報告された脆弱性はプログラムの要件を満たしていないか十分な詳細情報を提示していないためプログラムに受理されなかったことの通知
  • 十分な情報が収集されレポートが受理された時点で、当社は以下を行います。
    • 該当するセキュリティおよび製品エンジニアリングチームと共に、さらにレポートを評価して調査します。
    • 調査および修正プロセスの全容を明確な予定とともに通知します。
    • 当社の最終結論を通知します。
  • GE HealthCareはMITRE CVE採番機関(CNA)であり、必要に応じて独自のCVEおよびNVDエントリを作成して開示できます。
  • レポートが最終的に一般に開示される場合は、セキュリティ研究者の貢献を公に認めます(希望される場合)。

必要に応じて、GE HealthCareは中立の第三者に報告書の解決を支援するよう要請することがあります。

要請を提出することにより、お客様から提供されたデータまたは情報をGE HealthCareが無制限に使用できる(また、他にも同様の使用を許可する)ことに同意したものとみなされます。お客様の提出物は、GE HealthCareの知的財産権に基づく権利を付与したり、GE HealthCareに対する義務を生じさせるものではありません。