株式会社シムックスイニシアティブ(以下、「当社」)は、お客様に安全な製品・サービスを提供するため、情報セキュリティの確保を最重要課題の一つと位置付けています。 本ポリシーは、当社の製品およびサービスにおけるセキュリティ上の脆弱性を発見されたセキュリティ研究者やユーザーの皆様に対し、適切な報告手順と、報告受領後の当社の対応方針をご案内するものです。
1.適用範囲 (スコープ)
本ポリシーの対象となる製品・サービスは以下の通りです。
- 対象ハードウェア: スマート・ゲートウェイ「Marimba Mercury」およびその派生モデル
- 対象ソフトウェア: 上記デバイスで稼働するファームウェア、および連携する当社提供のクラウドAPI・管理画面
- 対象ドメイン: cimx-initiative.com,energy-management.jp,digital-power-trimmer.io
【対象外となるもの】 他社製のサードパーティソフトウェア単体の脆弱性(当社製品の動作に直接影響しないもの)、および当社が管理権限を持たないインフラストラクチャ。
2.脆弱性の報告方法
脆弱性を発見された場合は、以下の専用窓口まで電子メールにてご報告をお願いいたします。
- 報告窓口 (Email):
- 対応言語: 日本語、英語
【ご報告に含めていただきたい情報】 円滑な調査のため、可能な範囲で以下の情報をご提供ください。
- 発見した日時
- 対象製品の名称およびバージョン (例:Marimba Mercury FW v2.1.0)
- 脆弱性の種類 (例:クロスサイトスクリプティング、認証回避 など)
- 脆弱性を再現するための具体的な手順(PoCコードやスクリーンショット等があれば添付してください)
- 想定される脅威や影響範囲 (CVSSスコア等)
3.当社の対応フローとタイムライン
ご報告いただいた脆弱性については、社内の「製品セキュリティ保守指針」に基づき、深刻度(CVSSベーススコア等)を評価し、迅速に対応いたします。
- 受領確認: 原則として、ご報告受領後 3営業日以内 に受領の旨をご返信いたします。
- 調査・評価: 当社セキュリティ担当者および開発チームにて、再現性の確認と影響度評価を行います。
- 対策の実施: 深刻度に応じて、以下の目標タイムラインで修正パッチの開発または回避策の提示を行います。
- 緊急 (Critical): 72時間以内を目標に対策・通知を実施
- 重要 (High): 1ヶ月以内を目標に対策を実施
- 中・低 (Medium/Low): 次回定期アップデート等で順次対応
- 情報公開 (協調的開示): 修正パッチの配信が完了し、ユーザーの安全が確保された後、必要に応じて当社ウェブサイト等で情報を公開します。それまでの間は、脆弱性情報の非公開にご協力をお願いいたします。
4.報告者へのお願いと禁止事項 (セーフハーバー)
脆弱性の調査を実施する際は、以下のルールを遵守してください。本ポリシーに従って善意に基づき行われた調査および報告について、当社が報告者に対して法的措置を講じることはありません。
- 禁止事項
- 稼働中のサービスや他のお客様のデバイスに影響を与えるテスト(DoS/DDoS攻撃など)の実施。
- 当社や顧客のデータに対する不正なアクセス、破壊、改ざん、またはデータの外部への持ち出し。
- 当社従業員や顧客に対するソーシャルエンジニアリング、または物理的なセキュリティテスト。
- 情報の取り扱い: 発見した脆弱性情報については、当社が修正パッチを提供し公開に合意するまで、第三者への公開をお控えください。
5.個人情報の取り扱い
ご報告の際にご提供いただいた氏名、メールアドレス等の個人情報は、本件に関する連絡、脆弱性の調査・対応の目的にのみ使用し、当社のプライバシーポリシーに従って適切に管理いたします。
改訂履歴
- 2026年4月3日:第1版 制定・公開
製品に関するお問い合わせ
「Marimba Mercury」の導入検討、デモ機のお貸出し、技術的な仕様に関するご質問などは、以下の窓口までお気軽にお問い合わせください。
■ 導入・お見積りのご相談 (営業窓口)
新規導入のご検討や、貴社工場への適合性に関するご相談を承ります。- お問い合わせフォーム
- お電話: 03-6402-2650 (受付時間:平日 10:00〜17:00)
- 主な対応内容: 製品価格の見積り、デモ機貸出、システム構成のご提案
■ 技術サポート・仕様に関するお問い合わせ (テクニカル窓口)
すでにご利用中のお客様や、詳細な通信仕様を確認したいエンジニアの方はこちら。
- サポートメール:
- 主な対応内容: セットアップ手順、対応プロトコルの詳細、脆弱性報告・セキュリティに関するお問い合わせ
