hero-mobile-v3

セキュリティは、私たちの活动の中核をなすものです。
hero-mobile-v3

製品のセキュリティは単なる机能ではなく、当社のソリューションを保护する上で重要な要素です。
X

製品のセキュリティ | Stryker

製品のセキュリティ

ストライカーでは、製品のセキュリティと安全性がいかに重要であるかを熟知しているため、これらに細心の注意を払っています。 専任の製品セキュリティチームは、強力なセキュリティ対策を実装するために精力的に取り組んでおり、業界のパートナーと協力してセキュリティ対策を継続的に改善しています。 当社は、新たな脅威に先手を打ち、適切な措置を講じて脆弱性に対処するために、セキュリティに関して積極的なアプローチを採用しています。 お客様からの信頼を最優先に考え、お客様にご利用いただく製品とデータの保護に尽力しています。

製品サポート情报

エンタープライズサイバーセキュリティ

??

当社のコミットメント

当社では、潜在的な脆弱性を特定して軽減するため、製品のライフサイクル全体にわたって徹底したセキュリティ評価を実施しています。 セキュリティは、設計から導入まで、製品開発プロセスのあらゆる段階に組み込まれ、当社のあらゆる活动における基本要素となっています。

?

?

当社の取り组み

??

発想のアイコン

机器の设计と开発

  • 新しい医疗机器の设计?开発段阶では、胁威モデリング、リスク评価、製品アーキテクチャへのセキュリティ管理机能の组み込みなどのセキュリティ対策を実装しています。
  • エンジニアリング、サイバーセキュリティ、プライバシー、规制の各チーム间で连携して総合的なアプローチを共有し、製品イノベーションにおけるセキュリティのベストプラクティスを実装しています。
  • 当社では、患者様の安全を胁かしたり机密データを侵害したりする恐れのある潜在的な脆弱性や胁威を軽减するために、设计の初期段阶からセキュリティを考虑しています。

??

錠前のアイコン

サプライチェーン
?

  • サプライチェーンにおけるセキュリティでは、医疗机器の调达、製造、流通、保守に関连するリスクの軽减に重点を置いています。
  • 当社は、セキュリティ要件を确立し、彻底した评価を実施して、製品に组み込まれているコンポーネントやソフトウェアの整合性を保护するため、サプライヤーやパートナーと紧密に连携しています。
  • 安全なコーディング手法の使用、ファームウェアの検証、流通チャネルの保护といった対策を讲じることは、サプライチェーン全体で改ざん、偽造、不正な変更の防止に役立ちます。

??

支援のアイコン

インシデントへの対応と脆弱性の管理

  • ストライカーでは、セキュリティ上の問題を迅速に検出、評価、軽減するために、強力なインシデント対応プロセスと脆弱性管理プロセスを導入しています。 これらのプロセスでは、連絡手順の確立、お客様や規制当局への対応の調整、パッチや更新プログラムの適時発行、インシデント後評価などが実施されます。
  • 积极的なセキュリティ対策を讲じても、医疗机器のライフサイクルにおいて脆弱性やインシデントが発生する可能性は依然として残ります。

??

承認のアイコン

医疗业界におけるパートナーシップ
?

  • 当社のこの分野の専门家たちは、业界団体に参加し、サイバーセキュリティの原则と业界のベストプラクティスの推进に取り组んでいます。
  • 当社は、セキュリティを强化するため、お客様、业界関係者、サプライヤーとの间で透明性と连携の文化を育んでいます。
  • 当社は、医疗の向上を目指して、业界の枠组みの构筑、技术文书の作成、规制当局との积极的なエンゲージメントの実现に贡献しています。

??

最新のセキュリティ勧告

Stryker Voceraレポート サーバーと音声サーバーの脆弱性

详细

Microsoft Print Spoolerの脆弱性(CVE-2021-34527およびCVE-2021-36958)

详细

础辫补肠丑别「尝辞驳4箩」オープンソースロギングライブラリ

详细

"Urgent 11" 脆弱性 - ウインドリバー VxWorks (ICSA-19-211-01)

详细
すべての记事を表示する

?

?

製品の协调的脆弱性开示(CVD)

セキュリティ研究者は、サイバーセキュリティの脆弱性や問題を特定する役割を担っています。 ストライカーでは、当社の医療機器の脆弱性について、連携と効果的な报告を促進するための协调的脆弱性开示(CVD:Coordinated Vulnerability Disclosure)プロセスを導入しています。

?

??

重要

??

当社の颁痴顿プロセスに関する重要な情报

当社は、当社の製品の試験を実施する研究者や関係者と誠意を持って協力し、CVDプロセスを通じて报告を行う個人に対して法的措置を講じることはありません。 このプロセスを利用することは、ストライカーとの法的合意とみなされます。

当社は、以下に该当する个人と协力することに同意します。

  • ストライカーまたは当社のお客様に损害を与えることなくシステムの试験および研究を行う。
  • 当社のお客様に影响を与えることなく製品の试験を実施する、机器?ソフトウェアの脆弱性试験を行う前にお客様から许可?同意を得ている。
  • ストライカーと当该个人が同意した诸条件に従って颁痴顿プログラムの适用范囲内で脆弱性试験を行う。
  • 当该个人および当社事业所在地の法律を顺守する。
  • 相互に合意した期間が終了するまで脆弱性に関する详细を開示しない。

ストライカーと情報を共有することを決定した場合、提供していただく情報は非専売?非機密とみなされ、ストライカーがその情報の全体または一部を一切の制限を受けることなく自由に使用できることに同意することとなります。 また、情報の提供によってご自身に対する権利やストライカーに対する義務が生じるものではないことにも同意していただきます。

??

报告に対し当社は下记の対応を図ります

??

报告に対し当社は下记の対応を図ります

  • メール受信から10営业日以内に适宜に対処。
  • 潜在的な発見事項を適切な製品チームに报告し、検証と再現を実施。 この段階で、追加情報の提供を求める連絡が入る場合がある。
  • 报告書の調査後、脆弱性および潜在的な影響の有無を確認。 特定された脆弱性が患者の安全に影響を及ぼすと判断された場合は、即座に解決策を策定し、適切な措置を講じる。 関連リスクに基づいてその他すべての脆弱性を評価し、対処する。
  • 问题についてオープンなディスカッションを行う。
  • 脆弱性分析の各段阶终了时に通知する。
  • 必要に応じて、脆弱性の検証?解决后にレコグニションを付与する。

修正の期限および関连する可能性がある问题?课题について可能な限りの透明性を确保する。

コミュニケーションやその他に関する问题を解决できない场合は、脆弱性の最适な対処法を特定するために中立的なサードパーティ(颁贰搁罢/颁颁、滨颁厂-颁贰搁罢、関连する规制机関等)を採用することがある。

ストライカーのCVDプロセスのあらゆる側面は、ストライカー独自の裁量により予告なく変更される場合があります。 また、特定された事項において対応することを保証するものではありません。

脆弱性管理プロセス

当社の协调的脆弱性开示(CVD)プロセスは、医療機器、プログラム医療機器(SaMD:Software as a Medical Device)、モバイル医療アプリケーションなど、規制対象となっている医療機器製品や医療用ソフトウェア製品も対象としています。 このプロセスは、当社製品に関する技術サポート情報の提供、有害事象の报告、または製品の不具合の申し立てを目的としたものではありません。

?

製品以外の脆弱性を报告するには

ストライカーのエンタープライズインフラストラクチャにおける製品以外の脆弱性についてご报告いただく场合は、ストライカーエンタープライズ滨罢脆弱性开示プログラム()を通じて当社までご连络ください。

?

脆弱性に関する报告书を提出するには

当社の医疗机器、プログラム医疗机器(厂补惭顿)、またはモバイル医疗アプリケーションのいずれかにおいて潜在的な脆弱性を特定した场合は、以下のフォームを使用して、脆弱性に関する报告书をストライカー製品セキュリティチームまでお送りください。

ストライカー製品に関连する有害事象製品の不具合についてご报告いただく场合は、次のサイトにアクセスしてください。?
stryker.com/productexperience

脆弱性报告フォーム

报告書を送信する際は、以下についてご注意ください

  • 报告書が英語で書かれている。
  • 报告書に概念実証コードが記載されている(対応に優先順位を付ける上で役立ちます)。
  • 脆弱性を発见した経纬、影响、可能な修正方法が记载されている。
  • 一般に公开する予定または意図の有无が记载されている。
  • 注:?クラッシュダンプやその他の自動ツールの出力のみが記載されている报告書は優先順位が低くなる場合があります。