S1.1-05 は、IoT 機器のセキュリティ機能についてではなく、機器メーカーとして脆弱性に対応するための体制を整えることを求める要件です。
S1.1-05 はドキュメント評価になります。
製造業者は脆弱性開示ポリシーを策定し、公開する必要があります。脆弱性開示ポリシーには以下の内容を含める必要があります。
-
問題を報告するための連絡先情報
以下のタイムラインに関する情報
-
最初の受領確認
-
報告された問題が解決されるまでの状況の更新
詳細な脆弱性開示ポリシーに求められる内容については、評価ガイドおよびチェックリストをご参照ください。
7.1. アットマークテクノと IoT 製品ベンダーの責任分界点
基本的なセキュリティ機能をはじめとした OS の機能は ABOS としてアットマークテクノが提供・メンテナンスします。
アプリケーションはコンテナとして OS と分離された環境で動作し、アップデートも OS とは別々に実施することができます。
そのため、 Armadillo を用いて開発された IoT 機器において、アットマークテクノがメンテナンスする部分と IoT 製品ベンダーがメンテナンスする部分に分かれます。
詳細は「ABOS 搭載製品におけるセキュリティ的な責任分界点」を参照してください。
ABOS は基本的にはアットマークテクノがメンテナンスし、アップデートを提供します。
開発者は ABOS の設定を変更することで、利用する ABOS の機能を選択できます。
ABOS の設定は ABOS 自体をアップデートしても引き継がれます。
ただし、開発者が ABOS の機能自体の改修をした場合、 アットマークテクノが提供するアップデートをそのまま適用することができなくなる場合があります。
ABOS の機能改修を行う場合は、一度アットマークテクノにご相談いただくことをお勧めします。
アプリケーションは開発者がメンテナンスし、エンドユーザーにアップデートを提供する必要があります。
開発者および IoT 製品ベンダーが IoT 製品の脆弱性開示ポリシーを策定する際の参考情報として、アットマークテクノの脆弱性開示ポリシーを紹介します。
