実務ガイド

OEM監査でよく聞かれる質問集
(PSIRT / SBOM / 脆弱性対応)

OEM監査で問われることは、細かい表現は違っても、実はかなり似ています。

背景にあるのは、車両メーカー側がサイバーセキュリティ管理システム(CSMS)を継続運用することを求められていること、そして業界として自己評価や改善の仕組みを回す方向に進んでいることです。
UN-R155はサイバーセキュリティ管理の枠組みを求めており、日本でもJAMA/JAPIAはガイドラインとチェックシートを公開しています。
つまり、サプライヤー側にも「体制があるか」「説明できるか」「証跡が残るか」が降りてきます。

このページでは、OEM監査でよく聞かれる質問を、
「PSIRT」「SBOM」「脆弱性対応」 の3つに分けて整理します。

狙いは「丸暗記」ではなく、何を聞かれた時に、何を見せればいいか をすぐ思い出せるようにすることです。

導入(全体のフローを確認)

OEM監査対応における、初動から証跡集め、回答書作成までの全体像はこちらをご覧ください。

先に結論:監査質問は4分類で見ると整理しやすい

OEM監査の質問は細かく見えるものの、実務上は次の4分類に収まります。

体制はあるか

窓口、役割分担、承認者、期限管理の有無

対象を把握しているか

製品名、対象版数、構成、SBOMの整備状況

判断を説明できるか

影響あり/なし/調査中の理由と前提条件

証跡が残っているか

回答書、台帳、提出履歴、更新記録、参照先

この4分類を先に頭に入れておくと、質問の意図が読みやすくなります。

1. PSIRTでよく聞かれる質問

FIRSTのPSIRT Services Frameworkでは、PSIRTは製品の脆弱性リスクを特定・評価・対処する組織的機能として説明されています。監査で見られるのは、まさにその“機能が回る状態”です。

よく聞かれる質問

  • 脆弱性の受付窓口はどこですか
  • 受付から回答まで、誰が何を担当しますか
  • 受領確認や一次回答の期限は決まっていますか
  • 外部に出す回答は誰が承認しますか
  • 期限が守れない時の運用はありますか

監査側が見たいもの

  • 窓口(共有メールやフォーム)
  • 役割分担表
  • SLA/社内期限ルール
  • 一次回答テンプレ
  • 案件台帳(チケット)

差し戻されやすいポイント

  • 「担当者はいます」だけで、窓口や承認線が見えない
  • 一次回答期限が無く、最終回答しか定義していない
  • “調査中”の案件に次回更新日が無い

2. SBOMでよく聞かれる質問

CISAはSBOMをソフトウェア構成要素の“ingredients list”と説明しており、ソフトウェアサプライチェーン透明性の基盤として扱っています。監査で問われるのは、SBOMがあるかどうかだけでなく、使える状態か です。

よく聞かれる質問

  • SBOMはありますか
  • どの製品版数に対応するSBOMですか
  • 最新版はどう管理していますか
  • 提出版と社内版は分かれていますか
  • OSSが少ない/無い製品はどう扱っていますか

監査側が見たいもの

  • 製品名×版数が切れたSBOM
  • 更新日/更新者
  • 提出版の識別(提出先・提出日)
  • 抜粋/マスキングのルール
  • 正本(社内版)との関係

差し戻されやすいポイント

  • 製品版数が無い
  • “最新版だけ”で過去版が追えない
  • 提出版と正本が混ざっている
  • 「OSSが無いからSBOM不要」と整理している

3. 脆弱性対応でよく聞かれる質問

PSIRTとSBOMがあっても、OEMが本当に知りたいのは「で、どう判断したのか」です。
この領域で多い質問は、CVEの存在確認ではなく、影響判定とその根拠 に集中します。

よく聞かれる質問

  • このCVEは自社製品に影響しますか
  • どの対象版数まで影響しますか
  • 影響なしと言える根拠は何ですか
  • 調査中の場合、いつ更新しますか
  • 暫定対策/恒久対策は何ですか

監査側が見たいもの

  • トリアージ記録
  • 対象版数の切り方
  • VEX相当の結論(affected/not_affected/under_investigation)
  • 証跡参照先(SBOM、設定、試験、上流通知など)
  • 次回更新日

差し戻されやすいポイント

  • 結論だけで理由が無い
  • 「影響なし」の前提条件が書かれていない
  • 調査中なのに更新日が無い
  • 暫定対策と恒久対策が混ざっている

4. 監査で“よく聞かれる質問”への準備の仕方

監査で慌てないためには、質問を丸暗記するより、質問に対応する証跡の箱 を作っておく方が強いです。

最小の準備物(7点セット)

  • PSIRT窓口と役割分担表
  • 案件台帳(期限・担当・次回更新日)
  • SBOMまたは簡易部品表
  • トリアージ記録
  • 回答書テンプレ
  • 提出履歴
  • 証跡リンク(SBOM行、構成表、設定、試験結果等)

監査が近い時は、これらを「どの質問に対する証跡か」で紐づけて一覧化するのが有効です。

証跡の準備へ

監査で要求されるエビデンス(証跡)の抜け漏れを防ぐためのチェックリストはこちらをご活用ください。

監査前に5分で見るチェックポイント

時間が無いときは、まずこの5つだけ見れば大きな事故を防げます。

窓口と承認者が書ける
受領確認・一次回答・最終回答の期限がある
SBOMに製品版数がある
影響あり/なしの判断理由が残っている
次回更新日と提出履歴が残っている

この5つが埋まっていれば、監査質問の大半に最低限答えられます。

FAQ:監査での質問・対応について

Q1. OEM監査では何を一番見られますか?

単体の文書よりも、「体制・対象版数・判断根拠・証跡がつながっているか」を見られます。窓口、SBOM、トリアージ、回答書が一本の流れになっていることが大切です。

Q2. SBOMが未整備でも監査対応できますか?

できますが弱くなります。少なくとも、対象製品名・対象版数・主要コンポーネントを簡易表で示せるようにしておくと、監査での説明がかなり楽になります。

Q3. 「影響なし」はどう答えるのが安全ですか?

結論だけでなく、対象版数、根拠、前提条件、証跡参照先を添えてください。追加質問が減ります。

Q4. 期限が無い案件も証跡化すべきですか?

はい。相手期限が無くても、受領日・社内期限・次回更新日を台帳に残しておくと、継続的に見ている証拠になります。

次に読む

監査で必ず聞かれる「SBOM」について、そもそも提出物としてどう扱うべきかを復習したい方はこちら。

監査の「証跡」作り、自動化しませんか?

OEM調査依頼・監査対応の進め方を整理したい方、いまの体制で大丈夫か不安な方はご相談ください。

Auto PSIRT Cloudなら、受付からSBOM突合、影響判定の履歴、そしてOEM回答書までがシステム上で「1つの線」として繋がるため、監査で突っ込まれる隙を減らします。

【無料】オンライン相談を予約する OEM回答書作成の流れをデモで見る