実務テンプレ

“影響あり”OEM回答文テンプレ
(暫定/恒久の書き分け)

OEM調査依頼で一番難しいのは、「影響あり」と分かった後の返し方です。

雑に返すと、相手は次の3つを必ず聞いてきます。

  • どの製品・どの版数が対象か
  • いま何ができるか(暫定対策)
  • いつ何で直るのか(恒久対策)

つまり「影響あり」の回答は、結論だけでは成立しません。
対象範囲、成立条件、暫定対策、恒久対策、次回更新日(SLA)、証跡 まで含めて、初めて“通る回答”になります。

全体像の確認

OEM調査依頼の初動から、回答書の作成・証跡の集め方までの全体設計はこちらをご覧ください。

まず整理:暫定対策と恒久対策は別物

混同すると炎上しやすいので、最初に分けます。

暫定対策(Mitigation)

いま止血するための対策

  • 機能無効化、設定変更
  • アクセス制限、運用回避 など

ポイントは「成立しにくくする」ことであって、完全修正ではない

恒久対策(Remediation)

原因を除去する本命対策

  • パッチ適用、修正版リリース
  • 設計変更、ライブラリアップデート など

ポイントは「いつ・どの版で直るか」を示すこと

OEMが欲しいのは、この2つを分けたうえで、次回更新日 がある回答です。

コピペ用:“影響あり”OEM回答文テンプレ(日本語)

使い方: メール/回答書に貼って、【 】だけ埋めてください。
※一次回答でも使えるよう、暫定対策 と 恒久対策 を両方書ける形にしています。

回答文テンプレート
件名:【CVE-____】調査結果(一次回答):影響あり 【1. 結論】 当社製品【製品名】(対象版数:【v__〜v__】※暫定/確定)は、現時点の評価では当該事象の影響を受けます(影響あり)。 【2. 対象範囲】 - 対象製品:【製品名】 - 対象版数:【v__〜v__】(暫定/確定) - 対象箇所:【ECU/モジュール/機能名】 【3. 影響概要】 - 影響内容:【例:外部IF経由で成立し得る/機能停止リスク/情報改ざんの可能性 等】 - 成立条件:【例:特定設定が有効/診断経路が有効/近距離IFが存在 等】 【4. 暫定対策(Mitigation)】 - 現時点で可能な対策:【機能無効化/アクセス制限/運用回避/監視強化 等】 - 前提条件:【例:設定Yを無効のまま維持】 - 実施状況:【実施済み/実施中/未実施(理由:____)】 【5. 恒久対策(Remediation)】 - 方針:【パッチ適用/修正版リリース/ライブラリアップデート/設計変更】 - 予定版数:【v____】 - 予定日:【YYYY-MM-DD】(確度:高/中/低) - 配布方法:【工場更新/現地更新/OTA 等】 【6. 証跡(参照先)】 - SBOM/構成表:【ID____】 - 設定/仕様根拠:【ID____】 - 修正チケット/試験結果:【ID____】 【7. 次回更新(SLA)】 - 次回更新日:【YYYY-MM-DD】 - 更新予定内容:【対象版数確定/暫定対策の進捗/恒久対策の確定 等】 以上、よろしくお願いいたします。 連絡先:【担当部署/担当者名/メール】 案件ID:【INC-____】

使い方のコツ(ここだけ押さえると通りやすい)

1. 先に「対象版数」を書く

影響ありでも、版数が曖昧だと差し戻されます。暫定でもよいので、まず対象範囲を切ってください。

2. 暫定対策は「止血」、恒久対策は「直る予定」

暫定対策を「修正完了」と書かないこと。恒久対策には、予定版数予定日 を書きます。

3. 次回更新日を必ず入れる

一次回答で確定できない情報があるなら、次回更新日(SLA)が必須です。沈黙より、更新予告の方が信頼されます。

4. 証跡は“添付できなくても参照できる”形にする

ファイル添付が難しい場合でも、証跡ID/保管場所/対象版数 を残してください。監査や追加質問で効きます。

5. OTAが絡むなら、配布方法を先に書く

影響あり回答では「どうやって直すか」がよく聞かれます。配布方法がOTA/工場/現地で変わる場合は、最初から書いた方が強いです。

用語の補足

配布方法に「OTA」が絡む場合、OEMからの質問が複雑化しやすくなります。OTAの前提知識はこちら。

この記事のテンプレを自社向け(製品構成・承認線)に調整したい方はご相談ください。

【無料】オンライン相談を予約する

よくあるNG例(影響ありで炎上する典型)

NG 1 「影響ありです。以上。」

→ 対象版数、暫定対策、恒久対策、SLAが無く差し戻されます。

NG 2 「恒久対策は検討中です。」

→ いつ更新するか不明。次回更新日が必須です。

NG 3 「暫定対策で解決済みです。」

→ 暫定対策(止血)と恒久対策(修正)が混ざっています。

NG 4 「証跡は後で出します。」

→ 参照IDだけでも先に残すべきです。

FAQ:影響あり回答の書き方について

Q1. 影響ありのとき、一次回答でどこまで書けばいいですか?

最低限、結論、対象版数、暫定対策、恒久対策の方針、次回更新日を書いてください。全部確定していなくても構いません。

Q2. 恒久対策の予定日が未定でも回答できますか?

はい。その場合は「予定日未定」とせず、次回更新日 を置き、「その時点で予定版数/日付を更新する」と書いた方が安全です。

Q3. 暫定対策が無い場合はどう書けばいいですか?

「暫定対策なし」とだけ書かず、代替の管理策(監視、運用回避、更新待ち) を書くと相手の理解が得やすくなります。

影響ありの回答書も、ボタン一つで自動生成

Auto PSIRT Cloudなら、影響判定の結果に基づいて「暫定対策」や「恒久対策の予定」を入力するだけで、このテンプレートの型に沿ってOEM提出用の回答レポートを自動出力します。

OEM回答書作成の流れをデモで確認する