脆弱性開示ポリシー
コミットメント
VicOne LAB R7は、フィジカルAI時代におけるサイバーセキュリティと物理的安全性の重要な交差点を認識しています。本ポリシーは、当社のCNAスコープ内の脆弱性を特定、検証、解決するために、グローバルなリサーチコミュニティと協力するという当社のコミットメントを概説するものです。
対象ドメイン
フィジカルAIシステム
- 物理的な動作に直接影響または制御するAIシステム
- 認知、意思決定、アクチュエーションロジック
- 安全性が重要なサイバーフィジカル環境
ロボティクスプラットフォーム
- ロボティクスのソフトウェア、ファームウェア、ハードウェアコンポーネント
- 制御スタック、ミドルウェア、AI対応制御ロジック
- サイバー侵害が物理的な影響を引き起こす可能性のあるロボット運用環境
シミュレーション&デジタルツイン
- ロボティクス/AI開発および検証に使用されるシミュレーションプラットフォーム
- 実世界のロボットシステムを表すデジタルツイン環境
- その完全性が実世界の安全性判断に影響するシミュレーションパイプライン
対象外ドメイン
- 汎用IT:標準的なオフィスソフトウェア、企業ウェブサイト、非ロボティクスクラウドサービス
- サードパーティハードウェア:ロボティクス制御に関連しない汎用チップやコンポーネントの脆弱性
- レガシーシステム:サポート終了(EOL)と明記された製品
脆弱性ハンドリングフロー
当社のプロセスはISO/IEC 29147:2018規格に準拠し、協調的な開示を確保しています。
| ステップ | フェーズ | 説明 |
|---|---|---|
| 01 | 提出(PGP暗号化) | PGP暗号化メールで報告を受領 |
| 02 | トリアージ&検証 | 報告の検証と問題の再現 |
| 03 | CVE ID割り当て | 脆弱性のCVE識別子を予約 |
| 04 | 修復&パッチ適用 | ベンダーと修正の開発を調整 |
| 05 | 公開開示 | 協調されたタイムラインの後にアドバイザリを公開 |