実務テンプレ

PSIRT立上げ:必須チェックリスト(雛形)

「OEMからPSIRT体制を求められた」
「脆弱性の影響有無を報告しろと言われた」
「でも専任がいない。兼務で回すしかない」

この状況で最初に必要なのは、“高機能なツール”よりも やることの順番が決まったチェックリスト です。

PSIRTは、立上げ時に 窓口・役割・期限・証跡 が揃っていないと、次の照会で必ず止まります。

この記事では、そのまま仕事が進む「PSIRT立上げ必須チェックリスト(雛形)」 を公開し、書き方・運用のコツ・よくあるNG例もセットで解説します。

全体像を先に押さえたい方へ

PSIRT立上げの全体像(UN-R155要求→運用設計→回し方)を確認したい方はこちら。

使い方(3分)

  1. 下のチェック項目を、そのまま社内のタスク表(スプレッドシート等)にコピペする
  2. 「完了/未完了」「担当」「期限」を入れる
  3. まずは Day1(当日) だけ終わらせる(ここが最優先)
  4. 次に 1週間以内、最後に 1ヶ月以内 を積み上げる

PSIRT立上げ必須チェックリスト(雛形)

Day1(当日):まず“止まらない”状態を作る(最重要)

ここまで終われば、「急に来た照会に“何も返せない”」状態は回避できます。

PSIRT窓口を1本化(共有メール or フォーム)※個人メール禁止
一次回答テンプレを用意(受領確認/調査中+次回更新日)
役割(4役)を決める:受付/技術評価/対外回答/承認(兼務OK)
最終承認者(A)を決める(提出物の署名・承認)
案件台帳(チケット/表)を作る(案件ID・期限・対象・結論・根拠・証跡)
証跡フォルダ雛形を作る(依頼原本/調査/回答書/提出履歴/是正)
社内SLA(目標時間)を仮で置く(例:受領1営業日/一次3–5営業日)

1週間以内:最低限「影響あり/なし/調査中」を返せる状態にする

対象製品一覧(製品名・型番・版数・出荷範囲・担当)を整備
ソフト部品の棚卸しを開始(ExcelでOK:OSS/商用/自社)
SBOMの作り方/更新責任者を決める(誰が、いつ更新するか)
トリアージの3段階を固定(対応必須/要確認/対応不要)
「影響なし」を言うときの根拠語彙を固定(逃げない文章の作り方
OEM回答の型を固定(結論→根拠→対応方針→証跡)
そのまま使える雛形

台帳・一次回答テンプレ・証跡フォルダ構成などの具体的な雛形は、以下の記事にまとめています。

1ヶ月以内:ノイズを減らし、監査・追加質問に耐える状態にする

脆弱性情報の入口を決める(NVD/JVN/ベンダー通知など)
週次15分の確認会を固定(期限・要確認・次回更新日だけ)
証跡の参照ルールを決める(添付しない場合の「証跡ID/保管場所/版数」)
是正(CAPA)の扱いを決める(監査指摘→計画→期限→完了証跡)
兼務者向けに30分の社内説明資料を作る(これで属人化が減る)

よくあるNG例(これを潰すだけで事故が減る)

NG1:窓口が個人メール → 退職・異動で引継ぎができず詰む
NG2:「影響なし」を根拠なしで返す → OEMから追加質問が来て炎上する
NG3:対象版数が毎回揺れる → 前提が狂い、手戻りが発生し続ける
NG4:一次回答である「調査中」を出せない → 一次回答を出す文化がなく、期限を超過しやすい
NG5:証跡が散らばる → 監査のときに根拠を再現できない

Auto PSIRT Cloudで、このチェックリストを“運用に落とす”ポイント

チェックリストは人手でも回せますが、兼務体制ほど「繰り返し作業」で詰まります。
Auto PSIRT Cloudのデモでは、次の流れを 画面で確認できます。

  • SBOM/部品表の取り込み:対象判定の前提を揃える
  • CVE突合とトリアージ:ノイズを減らす
  • 日本語要約:兼務でも理解できる形にする
  • OEM対応ウィザード/レポート出力:回答書を“型”で作る
  • 期限(SLA)/タスク可視化:返答漏れを防ぐ

このチェックリストを「自社向けに落とし込む(対象製品・版数・証跡・SLAまで)」壁打ちをご希望なら、ご相談ください。

【無料】オンライン相談を予約する

FAQ:チェックリストの活用について

Q1. PSIRT立上げは何から始めればいいですか?

最初は「窓口1本化」「役割(4役)」「一次回答テンプレ」「案件台帳」「証跡フォルダ」「社内SLA」の6点をDay1で揃えるのが最優先です。

Q2. 兼務でもPSIRTは回せますか?

回せます。人数より「役割」と「型」が重要です。4役を決め、一次回答(調査中+次回更新日)を許可すると破綻しにくくなります。

Q3. 「影響なし」を言うときに必要なものは?

“根拠の一言”と証跡です。たとえば「搭載なし」「実行経路なし」「到達不能」など、根拠語彙を固定して残すと監査に強くなります。

Q4. 証跡(エビデンス)は全部添付しないといけませんか?

状況によります。添付しない場合でも、回答書に「証跡ID/保管場所/対象版数」を明記できるように設計すると、追加質問に耐えやすくなります。

まとめ

PSIRT立上げは、最初の整備でほぼ勝負が決まります。

Day1で“止まらない”状態を作り、1週間で“返せる”状態にし、1ヶ月で“監査に耐える”状態へ進める。この順番で積み上げれば、兼務でもPSIRTは回ります。

体制構築とツール導入を同時に進めませんか?

Auto PSIRT Cloudには、このチェックリストで求められる「台帳管理」「SLA管理」「証跡の紐付け」「回答書の型化」がすべて組み込まれています。

Auto PSIRT Cloudのデモを見る