OEMから突然来た調査依頼・監査の初動
(2時間以内にやること)
「OEMから突然、質問票(調査依頼)が届いた」
「監査の連絡が来て、提出物の話になっている」
「期限が短いのに、社内で誰がやるか決まっていない」
この瞬間、現場の勝敗を分けるのは“分析力”よりも初動の型です。
最初の2時間でやるべきことをやっておくと、その後の調査・回答書作成・証跡集めが驚くほど楽になります。逆に、この2時間で期限・範囲・担当が曖昧なまま走り出すと、ほぼ確実に手戻りします。
この記事では、Tier2〜Tier4の兼務担当でも回るように、「2時間以内の初動」だけを手順化します。
2時間以内のゴール(この6つが揃えば勝ち)
2時間の間に、完璧な結論を出す必要はありません。ゴールは「事故が起きない状態」を作ることです。最低限、次を揃えます。
- 期限の種類を確定(受付/一次回答/最終回答/是正)
- 対象範囲を仮固定(製品名・版数・出荷範囲・依頼の意図)
- チケット化(案件が“見える化”され、流れない状態)
- 担当割り当て(RACI)(最終責任者Aを決める)
- 証跡フォルダを作成(後から集めない)
- 一次回答(受付+調査中宣言)(次回更新日をセットで返す)
この6点が揃えば、その後は“作業”になります。
0〜15分 受領直後の「事故防止」チェック
まず、メールやポータル通知を開いたら即メモします。(ここをやらないと、後で「どの版数の話だっけ?」になります)
受領直後に控える5項目
- OEM名/依頼元部署/担当者/返信先
- 依頼種別(調査依頼・質問票・監査通知・脆弱性照会 など)
- 回答期限(書面上の期限)
- 対象(製品名・型番・プロジェクト名・版数が書かれていれば全部)
- 提出形式(指定Excel/PDF/ポータル入力/メール)
ポイント:この時点で“中身の評価”に入らないこと。最初は期限と範囲を固定するのが優先です。
15〜30分 期限を分解して「一次回答の締切」を作る
OEMの期限は、1つに見えて実務上は分かれています。ここを分解すると、初動が安定します。
OEM期限のよくある4種類
- 受付期限:受領したことを返す(Acknowledgement)
- 一次回答期限:影響有無 or 調査中を返す(暫定可)
- 最終回答期限:証跡込みで確定回答を返す
- 是正期限:再発防止・体制整備・対策計画の期限
もし依頼文に「いつまでに何を」の記載が曖昧なら、最初の返信で確認してOKです。黙って遅れる方が印象が悪いです。
30〜45分 範囲確定(“対象版数”を仮でいいから固定する)
初動で一番多い失敗が「対象範囲が揺れる」ことです。ここでは“仮固定”でいいので、まず次を決めます。
仮固定する範囲(最低限)
- 対象製品(名称が曖昧なら候補を列挙)
- 対象版数(出荷期間/ソフト版数/ハード版数)
- 依頼の焦点(脆弱性?SBOM?運用体制?OTA?監査全般?)
- 提出物(質問票回答のみか、証跡添付が必要か)
コツ:範囲が揺れそうなら、チケットに「暫定範囲(v0)」として書いておき、後で範囲拡張したら「v1」として履歴を残します。
45〜60分 チケット化+担当割り当て(A=最終責任者)
メール転送だけで回すと、ほぼ確実に漏れます。最初の1時間で必ずチケット化(タスク登録)してください。
チケットに必須の項目
- OEM名/案件名
- 期限(受付・一次・最終・是正)
- 対象製品・対象版数(暫定可)
- 要求事項(質問票のURL/添付)
- 提出形式(Excel/PDF/ポータル)
- A/R/レビュー担当
- 証跡フォルダURL
兼務でも回るRACI例
- A(最終責任):品質保証(またはPJ責任者)
- R(実行):設計/ソフト(評価)+品質(まとめ)
- C(相談):情シス/セキュリティ(兼務可)
- I(共有):営業/調達(OEM窓口)
A(最終責任者)が決まらないまま作業開始が一番危険です。最後の承認で止まります。
60〜90分 証跡(エビデンス)フォルダを“先に”作る
「証跡集め」は後からやるほど地獄です。初動でフォルダを作って、全部そこへ集約するだけで、後工程が軽くなります。
推奨フォルダ構成(そのまま使える)
- 📁 00_依頼原本(メールPDF、質問票、ポータル画面スクショ)
- 📁 01_対象範囲(製品名・版数の確定資料、出荷範囲)
- 📁 02_調査(SBOM/部品表、構成、設定、IF資料)
- 📁 03_回答書ドラフト(社内版・提出版)
- 📁 04_証跡(添付用エビデンス、参照先一覧)
- 📁 05_提出履歴(提出版、送付メール、ポータル受付証跡)
- 📁 06_追加質問・是正(Q&A、是正計画、再提出)
証跡は「全部添付」より「参照可能な形で整える」が現実的です。添付しない場合でも、回答書に 証跡ID/保存場所/版数 を書けるようにしておくと強いです。
90〜120分 一次回答(受付+調査中宣言)を返す
2時間以内にやるべき最後の仕事が、一次回答です。ここで大事なのは、結論を無理に断定しないこと。代わりに、状態と次回更新日を宣言します。
一次回答テンプレ(コピペOK)
- 「調査中」を隠すより、次回更新日を出す方が信頼されます
- 追加確認は“最小限”にする(長い質問は相手も読む気を失う)
- 以降のやり取りはチケットの履歴に紐づける
次に確認する論点(追加質問が来やすいトップ5)
一次回答の後、OEMから追加で聞かれやすいのはこの辺りです。
- 対象版数の境界(どこまで影響?どこから非該当?)
- 外部IF・到達性(攻撃成立条件)
- 更新・配布方法(OTA/工場/現地)
- 証跡の粒度(添付必須?参照でOK?)
- 再発防止・体制(監査の場合は是正計画へ)
すぐ使える:回答書の“型”とチェック(テンプレに逃がす)
初動が終わったら、次は「回答書(提出物)」を作る段階に入ります。ここでゼロから書くと時間が溶けるので、テンプレの力を使ってください。
FAQ:初動でよくある質問
期限(受付/一次/最終/是正)と対象範囲(製品・版数)を仮固定し、チケット化、担当割り当て(Aを決める)、証跡フォルダ作成、一次回答(調査中+次回更新日)までを完了させるのが最優先です。
黙るより、一次回答で「調査中」と「次回更新日」を宣言する方が信頼を落としにくいです。暫定でも、状態と次の予定を返すのがコツです。
初動はほぼ同じです(期限・範囲・担当・証跡・一次回答)。違いは、監査はこの後に是正計画(CAPA)が来やすく、証跡の粒度が細かくなる点です。
全部を集め切る必要はありません。まずは証跡フォルダを作り、依頼原本・範囲・調査メモ・回答書ドラフトが散らばらない状態を作るのが先です。
回せます。初動で必要なのは専門知識より「型」です。A(最終責任者)を決め、R(実行)を設計/ソフト・品質に割り当て、Cとして情シス/兼務セキュリティが助言できる形にしておくと破綻しにくいです。
まとめ:初動の2時間で“勝てる状態”を作る
OEM調査依頼・監査対応は、結局「初動の型」があるかどうかで勝負が決まります。
2時間以内に 期限・範囲・チケット・担当・証跡フォルダ・一次回答(次回更新日付き) を揃えれば、その後の作業は整流化できます。
属人化した初動対応から抜け出しませんか?
OEMから突然来た調査依頼・監査対応の進め方を、自社の体制に合わせて整理したい方は無料相談をご利用ください。
Auto PSIRT Cloudを使えば、初動対応から回答書作成までをシステム上で迷わず進めることができます。