はじめに（基本姿勢）

株式会社松浦機械製作所（以下、当社）は、お客様に安全かつ安心して当社の工作機械および関連ソフトウェアをご利用いただくため、商品のサイバーセキュリティ向上に継続的に取り組んでいます。

当社では、自社商品に関する脆弱性情報の収集・分析・対策を迅速に行うための専門組織「PSIRT（Product Security Incident Response Team）」を設置し、国際標準（ISO/IEC 29147等）に準拠した透明性の高い脆弱性対応プロセスを運用しています。

脆弱性報告の受付

当社で取り扱うすべての商品における脆弱性（セキュリティ上の欠陥）を発見された場合は、以下の専用フォームより情報のご提供をお願いいたします。

脆弱性報告専用フォーム※別ウィンドウで開きます

ご提供いただきたい情報

• 対象製品名およびモデル名
• ソフトウェアのバージョン
• 脆弱性の詳細内容（再現手順、期待される影響など）
• 報告者の連絡先（任意）

脆弱性対応プロセス（ステップ）

当社は、報告を受けた脆弱性に対し、以下のステップで対応を進めます。

• 受領・受付：報告を受領後、原則として[7営業日]以内に受領確認の連絡を行います。
• 調査・分析：専門エンジニアが脆弱性の再現性を検証し、影響範囲（機密性、完全性、可用性への影響）を評価します。ご報告者様には対応が完了するまで適宜進捗をご連絡いたします。
• 対策開発：脆弱性が確認された場合、修正パッチの開発、またはリスクを軽減するための回避策（ワークアラウンド）の策定を行います。
• 公開・周知：対策が整い次第、本ウェブサイトの「商品セキュリティ情報」ページにて、セキュリティアドバイザリ（注意喚起）を公開します。

セキュリティアドバイザリの公開方針

当社は、お客様が適切な防御措置を講じられるよう、以下の情報を公開します。

• 脆弱性の識別番号（CVE番号など）
• 対象製品とバージョン
• 脆弱性の概要と想定されるリスク
• 修正パッチの入手方法または回避策

※機微な情報を含む場合や、特定の環境に限定される場合は、ユーザー専用ポータル（MyMatsuura等）を通じて個別にご案内する場合があります。

※関連するベンダーとの公開日程の調整期間中は、未公開の脆弱性情報の取り扱いを関係者内に限定し、関係者以外への情報開示リスクの低減を図ります。

※脆弱性の発見、報告、および解決に貢献いただいた方のご要望に応じて脆弱性情報内に謝辞を記載します。

欧州サイバーレジリエンス法（CRA）への適合について

当社は、欧州連合（EU）のサイバーレジリエンス法（CRA）をはじめとする国際的な規制を遵守し、製品のライフサイクル全体を通じてセキュリティアップデートを提供することに努めます。

• サポート期間：製品の出荷から最低[5年間 / または製品寿命期間]、セキュリティに関連するアップデートを提供します。
• SBOMの活用：ソフトウェア部品表（SBOM）の管理を徹底し、サプライチェーンを通じた脆弱性の早期発見に努めます。