このウェブサイトでは、Cookieを使用しています

当サイトでは、Cookieにより当サイトの閲覧に関する情報を収集しています。当社では、ポリシーにより皆様のプライバシーの尊重を重視しています。当社プライバシーポリシーおよびCookieポリシーの詳細情報は、別セクションにまとめてあります。当サイトの閲覧の継続に当たり、ご利用条件への同意をお願いいたします。ご理解ありがとうございます。

詳しい情報
いいえ、ありがとう
承知しました

Global

English (Global)

AMER

English (North America)

Português (Brazil)

Español (Latam)

México (Mexico)

Europe

English (Europe)

Deutsch

Español (Europe)

Italiano

Türkçe

Français

Nederlands

Polski

Čeština

Ελληνικά

Українська

Română

Svenska

Magyar

APAC

中文

AU&NZ

한국어

Tiếng Việt

日本語

Pakistan

India

Malaysia

Sri Lanka

Thailand

MEA

Middle east

Africa

logo3.svg
GoodWeについて
dwic01.png

事業案内
会社概要
品質管理
マイルストーン
dwic02.png

ニュース

dwic03.png

イベント
dwic04.png

キャリア
case.png

事例
daohang-2.jpg

お問い合わせ

いつでもお気軽にお問い合わせください

その他
ソリューション& 製品

ソリューション
dwic05.png

住宅蓄電システムソリューション
dwic06.png

系統用蓄電システムソリューション
F18NEW.png

BIPVソリューション

製品
20240724-092912.png

産業用向けソリューション

20250514-162142.png

産業用蓄電ソリューション

img.png

蓄電ソリューション

01-410.png

住宅蓄電システム
ez.png

モニタリングシステム
20250306-101234.png

パネル
サポート&サービス
dwic09.png

ダウンロード
製品関連
マーケティング素材
ビデオ
dwic10.png

保証
保証規定
dwic11.png

サポート
FAQs
オンラインサポート
dwic12.png

サービス
セキュリティ脆弱性管理
セキュリティ更新のお知らせ
安全に関する声明
daohang3.jpg

ダウンロード

必要な情報を揃えています

その他
GoodWeアカデミー

お問い合わせ
言語
< メインメニューへ戻る
20260202-174536.jpg 20260202-174543.jpg

セキュリティ脆弱性管理
セキュリティ更新のお知らせ
安全に関する声明
> サポート&サービス
> サービス
> セキュリティ脆弱性管理

セキュリティ脆弱性管理

概要


GOODWE 製品ネットワークセキュリティ処理チーム(PNSPT)は、GOODWE製品におけるセキュリティ脆弱性の対応に専念しています。これらの脆弱性は品質上の欠陥とは異なり、攻撃者が悪用して初めて被害を引き起こします。PNSPTは関連基準に基づきセキュリティ問題を管理し、脆弱性を低減するとともに、顧客への被害を最小限に抑えるため、タイムリーなリスク軽減策を提供することをお約束します。

脆弱性の提出


    セキュリティ責任者、組織、顧客、サプライヤーからの報告を奨励しています。

    報告には、製品の概要、製品モデル、ソフトウェアバージョン、および連絡先情報を記載のうえ、info.japan@goodwe.com宛に電子メールでご連絡ください。

    当社は、解決策が提供されるまで、当該情報の機密性を保持します。

脆弱性処理方式


1、脆弱性受付

脆弱性報告を受領後、分析を行い、7日以内に顧客へ回答します。

2、脆弱性審査

セキュリティエンジニアが脆弱性の深刻度を分析し、影響範囲と潜在的な影響を特定します。

3、脆弱性検証と修正

脆弱性の有効性を技術的に検証し、セキュリティエンジニアが30日以内に修正計画またはリスク軽減策を策定・実施します。

必要に応じてベンダーと連携し、脆弱性を修正します。

4、脆弱性開示と通知

脆弱性修正後、開示ページにて関連情報を公開します。影響を受けるデバイスに対し、90日以内にセキュリティ更新プログラムの配信を完了します。

対策が確立されるまでは、データの保護と機密保持に努めてください。法令規制を遵守し、取得したデータを保護してください。

脆弱性評価基準


高危険度(High / Critical)

1、権限越境またはリモートコマンド実行の脆弱性が存在し、パブリックネットワーク環境下で単一デバイスまたは複数デバイスに対する完全な制御をリモートで実現可能。

攻撃者は物理的な接触なしにデバイスの高権限を取得でき、影響範囲が広範。

2、リモートで一括悪用可能な制御系脆弱性が存在し、LAN外から多数のデバイスに対して同時に高権限操作を実行可能。

 本脆弱性は大規模攻撃の条件を満たし、広範囲なセキュリティインシデントを引き起こす可能性がある。

3、デバイスまたは管理システムにおいて、機密情報が漏洩する脆弱性が存在し、当該漏洩が直接的に広範囲なセキュリティインシデントを引き起こす可能性があります。

例:暗号鍵(秘密鍵)、証明書、管理者パスワードなどの重要情報の漏洩。

4、リモートでトリガー可能なサービス拒否(DoS)脆弱性が存在し、多数のデバイスが同時に機能停止または利用不能となる可能性がある。

業務継続性に深刻な影響を与える。

5、デバイスのコアセキュリティメカニズムが回避され、攻撃者が永続的な制御能力を獲得する可能性がある。

 ブートチェーン、アップグレードメカニズム、権限分離の無効化などが含まれる。


中危険度(Medium)

1、権限越境またはコマンド実行の脆弱性が存在し、単一デバイスへのリモート制御、またはLAN内でのデバイス制御が可能。

 攻撃範囲はネットワーク境界に制限されるが、実用的な悪用価値を有する。

2、一般的な権限越境問題、または一部制限されたコマンドのみ実行可能な脆弱性が存在する。

攻撃者は一定の条件下で操作権限を拡大できるが、全機能を直接制御することは困難。

3、情報漏洩脆弱性が存在し、漏洩内容が小規模なセキュリティインシデントを引き起こす可能性がある。

例:一部設定ファイル、実行ログ、非コアアカウント情報の漏洩。

4、サービス拒否(DoS)脆弱性が存在し、小規模に悪用され、一部機器のサービス中断を引き起こす可能性がある。

影響は局所環境または少数の機器に限定される。

5、脆弱性悪用に一定の事前条件(ログイン済みアカウント、特定ネットワーク環境、物理的接触など)が必要だが、機器のセキュリティに実質的な影響を与える可能性がある。


低危険度(Low)

1、サービス拒否脆弱性が存在し、単一デバイスにのみ影響を与え、他のデバイスや全体業務には影響しない。

攻撃効果は限定的で、復旧コストは低い。

2、情報漏洩問題が存在するが、漏洩内容自体が直接セキュリティインシデントを引き起こすには不十分。

潜在的なセキュリティリスクまたは設計上の欠陥としてのみ現れる。

3、権限制御またはアクセス制御の不備が存在するが、直接的な権限越境や機密操作の実行は不可能。

4、特定の制限条件下でのみ発生するセキュリティ欠陥が存在し、実環境への影響は小さい。

5、脆弱性の悪用難易度が高く、デバイスの機密性・完全性・可用性への影響は低い。


危険度なし(None / Informational)

1、セキュリティ強化の推奨事項や設定最適化のみに関わる問題で、実際のセキュリティリスクを構成しない。

2、漏洩する情報が公開情報またはセキュリティ価値のない内容であり、システムセキュリティに影響を与えない。

3、理論上は脆弱性の可能性が存在するが、現在のハードウェアアーキテクチャまたはデプロイ環境では悪用できない問題。

4、自動化ツールによる誤検知であり、人的分析によりセキュリティリスクが存在しないと確認された問題。

5、デバイスの制御、データセキュリティ、または業務継続性に影響を与えない注意喚起的な問題。


ニュースレター

業界の最新知見とGoodWe最新ニュースはこちらからお読みいただけます。

GoodWe Technologies Co., Ltd.

GoodWe Power Supply Technology Co., Ltd. データ保護 Declaration

>データ保護 Declaration

GOODWE Solar Academy

GOODWE Solar Academy データ保護 Declaration

>Download ( pdf )

ジョイトゥインストール

Goodweニュースレターを購読する

以下の詳細を挿入して情報を受信する

どのような種類のGoodweユーザーですか?

Retailer

Distributor

End User

Others

検証コード:*

私は善意を受け入れる プライバシーポリシー そして、私は条件を受け入れる

購読する