PSIRTを作らないコスト
OEM対応遅延・属人化・監査負荷はいくらになるか
自動車OEMへ部品を納入する中小サプライヤーで、PSIRTを後回しにすると、損失は「セキュリティ予算を払っていない」形ではなく、「品質保証・設計・管理職の時間が静かに失われる」形で出ます。
JAMA/JAPIAは、自動車産業のサプライチェーンリスク深刻化を受けて、業界共通ガイドライン、自己評価基準、チェックシート、解説書、中小企業向け手引きを継続的に公開しており、チェックシートはセルフ評価とPDCAによる改善を目的に運用されています。2025年度の説明会資料では、2024年度に3,134社が自己評価を実施し、2025年度も継続的な自己評価と取引先展開が求められています。
また、同じ説明会資料で経営層が挙げた具体的な課題の上位は、人材の確保が1,124件、投資の確保が895件でした。JAMA/JAPIAはこの文脈で、サイバーセキュリティ対策を経営課題として扱っています。
つまり、PSIRTを作るかどうかは、担当者の努力論ではなく、どのコストを先に払い、どのコストを後から高く払うかという経営判断です。
まず結論
PSIRTを作らないコストは、主に次の4つです。
- OEM対応遅延
- 属人化による再調査
- 自己評価・監査時の証跡集め
- 緊急時の外部支援プレミアム
たとえば、月3件の顧客照会、月2件の再調査、年2回の自己評価・点検準備がある会社で、社内原価を1時間6,000円、年1回の緊急外部支援を70万円と仮定すると、見える人件費と外注費だけで年約293万円になります。
※ここに、受注遅延、信用低下、事業停止リスクは入っていません。
なぜPSIRT未整備がコストになるのか
JAMAの2025年度経営層向け資料では、2022年に自動車部品製造で発生したランサムウェア被害が取引先メーカーに波及し、14工場28ラインが停止した事例や、2023年の名古屋港コンテナターミナル障害で約3日間の操業停止と約2万本のコンテナ搬出入への影響が出た事例が紹介されています。同資料は、有事に備えて平時から、復旧手順、緊急連絡表、バックアップ、ログ保管、再発防止まで準備しておく必要があるとしています。
PSIRTがない会社では、こうした準備が案件ごとに分散し、OEMから質問が来るたびに「誰が受けるか」「誰が影響判定するか」「誰が承認するか」を都度決めるため、回答遅延がそのまま社内工数になります。
さらに、FIRSTのPSIRT Services Frameworkは、PSIRTには品質保証、エンジニア、カスタマーサポート、法務、広報などの内部ステークホルダを明確にし、その役割と責任を文書化することが必要だとしています。ビジネスリーダーや経営層との連携も、PSIRTを機能させる前提に置かれています。
逆に言えば、PSIRT未整備の会社では、担当者個人が暗黙知で回している領域が増え、品質保証部長や兼務担当が休むだけで案件が止まりやすくなります。これが属人化コストの正体です。
FIRSTはまた、PSIRTの運用レポートとビジネスレポートとして、製品やバージョン別の脆弱性件数、SLA内で影響評価が完了したか、改修計画を期限内に提示できたか、といった指標を継続的に把握することを勧めています。
PSIRTがない会社では、この「前回どう判断したか」「どの版が影響したか」「いつ何を回答したか」が台帳化されにくいため、同じOEMから追加質問が来るたびに事実関係を集め直すことになります。再調査は、件数が少なくても毎月じわじわ効く固定費です。
しかも、PSIRT未整備でもコストはインシデント発生時だけに限りません。JAMA/JAPIAのチェックシートは、自社対策のセルフ評価とPDCAでの改善を目的としており、2025年度説明会資料でも継続的な自己評価と取引先展開が求められています。加えて、中小企業向け手引きでは、事故対応体制と責任者の明確化、対応内容の記録、必要に応じた体制見直しが優先項目として整理されています。
つまり、窓口、記録、責任分界がない会社は、自己評価、顧客説明、監査・点検のたびに、証跡をゼロから集め直すことになります。
後回しコストの簡易試算式
後回しコストは、次の式でかなり現実的に見積もれます。
( OEM対応遅延工数
+ 再調査工数
+ 自己評価・監査準備工数
+ 管理職巻き込み工数 )
× 社内原価
+ 緊急外部支援の割増費用
それぞれの考え方はシンプルです。
- OEM対応遅延工数 月間照会件数 × 1件あたり余計に発生する時間 × 12か月
- 再調査工数 月間の再確認・差戻し件数 × 1件あたり余計に発生する時間 × 12か月
- 自己評価・監査準備工数 年間回数 × 1回あたりの証跡整理時間
- 管理職巻き込み工数 年間会議回数 × 参加人数 × 会議時間
- 緊急外部支援の割増費用 事前契約なしで依頼した場合の緊急対応費、フォレンジック費、特急支援費など
この式の良いところは、PSIRTがないことの損失を、漠然とした不安ではなく、社内工数として稟議に載せられることです。
試算例:見えるコストだけで年約293万円
以下は、よくある中小サプライヤーを想定した試算例です。
数字はあくまで仮定ですが、考え方としてはそのまま使えます。
| 項目 | 前提 | 年額 |
|---|---|---|
| OEM対応遅延 | 月3件 × 追加5時間 × 12か月 × 6,000円 | 1,080,000円 |
| 再調査 | 月2件 × 追加4時間 × 12か月 × 6,000円 | 576,000円 |
| 自己評価・監査準備 | 年2回 × 30時間 × 6,000円 | 360,000円 |
| 管理職巻き込み | 年6回 × 4人 × 1.5時間 × 6,000円 | 216,000円 |
| 緊急外部支援の割増 | 年1回 × 700,000円 | 700,000円 |
| 合計 | 2,932,000円 | |
この約293万円は、見えるコストだけです。ここには、生産停止、出荷遅延、顧客からの信頼低下、追加説明の長期化、将来案件での不利といった影響は入っていません。
JAMAの経営層向け資料が示している通り、実際のサイバー被害は工場停止、物流停止、情報漏えいまで波及し得るため、本当に大きいのはむしろ見えにくい方の損失です。
コストが膨らみやすい会社の共通点
PSIRTを作らないコストが高くなりやすい会社には、共通点があります。
- 製品一覧、バージョン、SBOMの保管場所が一つにまとまっていない
- OEM向け回答の承認者が案件ごとに変わる
- 顧客への回答履歴がメールと個人フォルダに散っている
- 自己評価や顧客点検のたびに、担当者がゼロから証跡を集めている
- 緊急時に相談する外部先が事前に決まっていない
この状態では、インシデントが起きていなくても、毎月少しずつ工数が漏れていきます。
PSIRT未整備の本質的な損失は、大事故の時だけ大きいのではなく、平常時にも小さな無駄が積み上がることです。
最初から大きなPSIRTはいらない
ここで重要なのは、「PSIRTを作る」と言っても、最初から専任チームや大規模組織を作る必要はないことです。
FIRSTは、PSIRTのモデルは組織ごとに異なり、ガイドをもとに各社が独自の形を実装すべきだとしています。JAMAの手引きでも、まず重要なのは、事故対応体制と責任者、対応記録、体制見直しを押さえることだと整理されています。
中小サプライヤーなら、まずは次の3ロールを固定するだけでも効果があります。
受付・進行管理
問い合わせを止めない
技術判断
製品影響、対象版、暫定対策の有無を判断する
承認
OEMへ何をいつ返すかを決める
この3つが決まり、記録が1か所に残るだけで、後回しコストはかなり下がります。
つまり、PSIRTは大げさな新組織ではなく、横断調整の無駄を減らす運用設計だと考えた方が、経営層にも伝わります。
まとめ
PSIRTを作らないコストは、抽象的な危機感ではありません。
実際には、OEM対応遅延、属人化による再調査、自己評価・監査時の証跡集め、緊急外部支援の割増として、毎年の工数と費用に変わります。
試算例では、見えるコストだけで年約293万円でした。
しかもこれは、工場停止や物流停止のような大きな事業影響を含まない数字です。だから経営判断として見るべき論点は、「PSIRTを作るといくらかかるか」だけではありません。「PSIRTを作らないまま続けると、いくら漏れ続けるのか」です。
自社の製品数、OEM数、現在の回答件数を前提に、後回しコストを具体的に試算したい場合は、PSIRT導入の進め方を相談するところから始めるのが最短です。
大きな組織を作る前に、まずはコストの漏れ口を止める設計から着手した方が、稟議も通しやすくなります。
自社の「後回しコスト」を可視化しませんか?
現在の社内リソースとOEMへの対応状況から、PSIRTを未整備のまま放置した場合のコストリスクを整理し、最小限の投資で効果を出すための「体制とツールの導入ステップ」をご提案します。