脆弱性管理ポリシー

1. はじめに

本書は、DeskCameraソフトウェアにおける脆弱性の追跡、評価、および解決の方法を定義します。DeskCameraは、顧客のローカルネットワーク内でNVR/VMSシステムに対して画面データをローカルにストリーミングするオフライン型のオンプレミスアプリケーションです。映像や音声の録音は行わず、個人データの収集も行いません。クラウドインフラへの接続は、ライセンス認証またはアップデート確認の目的に限られ、個人情報が送信されることはありません。

2. 目的

構造化された評価・対処・更新プロセスを通じて、既知の脆弱性への曝露を最小限に抑えることで、DeskCameraのセキュリティと信頼性を確保します。

3. 適用範囲

DeskCameraのすべてのソフトウェアバージョン、社内の開発システム、コードリポジトリ、ならびに統合されたすべてのサードパーティコンポーネントに適用されます。

4. ガバナンスと役割

• CTO – ポリシーの所有者であり、重大な脆弱性を審査します
• 開発チーム – 脆弱性の監視、評価、解決を担当します
• セキュリティリーダー – 脆弱性への対応および外部との連絡（必要な場合）を調整します

5. 脆弱性の識別

• CVEフィードおよび依存関係に関するベンダーアドバイザリの継続的な監視
• 開発中のコードレビューおよび静的解析ツールの活用
• [email protected] への顧客や倫理的リサーチャーからのバグ報告

6. 分類とリスク評価

• CVSSおよび業務インパクトに基づき、脆弱性をEmergency、High、Medium、Lowに分類
• リスクスコアは、悪用の可能性、機能への影響、攻撃面の広さを考慮します

7. 修正プロセス

• EmergencyおよびHighの脆弱性は、5営業日以内に対処
• セキュリティパッチは、テスト後、次の利用可能なリリースに統合
• 既知のリスクが検出された場合、依存関係は積極的に更新

8. アップデートとリリースプロセス

• ビルドは、オフラインUSBメディア上に保管されたセキュアな証明書で署名
• 新しいインストーラーは、DeskCamera公式ウェブサイトに公開
• 必要に応じて、Security Advisoriesセクションを通じて顧客に通知

9. 顧客の責任

• 顧客は、アップデートの手動ダウンロードおよびインストールを自身で行う必要があります
• DeskCameraは、アップデートを自動的にプッシュしたり、顧客の環境へアクセスすることはできません。したがって、顧客は最良のセキュリティ慣行に従う必要があります

10. レビューとテスト

• 本ポリシーは、CTOにより年に1回見直されます
• バージョン管理はGitHubを通じて行われます
• セキュリティインシデントやアドバイザリに基づき、管理手法は随時更新されることがあります

11. 監査ログと変更追跡

• コードの変更とアクセス履歴は、Azure DevOps Serverソース管理を通じて自動記録されます
• コミット履歴、ユーザーの操作、および権限の変更は、内部SQL Serverデータベースに保存
• すべてのバージョンに対してGitコミットの履歴が保持され、役割ベースのアクセス制御により追跡可能性を保証
• 監査ログは、ISO 27001およびSOC 2の安全なソフトウェア開発に関する推奨事項に準拠しています