自己点検:PSIRT成熟度チェック
(監査前に整える)
OEM監査や顧客照会の直前になると、PSIRT運用の弱点は一気に表面化します。
ふだんは何となく回っているように見えても、いざ監査になると次のようなところで止まりがちです。
- 窓口はあるが、誰が承認するのか曖昧
- 影響あり/なしは言えるが、根拠の証跡が残っていない
- 一次回答は返せるが、次回更新日や期限管理が弱い
- SBOMや構成表はあるが、対象版数との結び付きが弱い
- 回答書は作れるが、提出履歴や差し戻し履歴が追えない
つまり、PSIRTの成熟度は「高価なツールがあるか」ではなく、「監査やOEM照会で回答と根拠を再現できるか」 で見られます。
このページでは、監査前に短時間で自己点検できるように、抜けやすい観点をチェックリスト化します。
先に結論:成熟度は6観点で見ると分かりやすい
PSIRTの成熟度を一気に評価しようとすると難しくなります。まずは次の「6つの観点」に分けると、監査で問われるポイントがかなり見えやすくなります。
窓口
誰が受け付けるか、外部に見える形になっているか
期限(SLA)
受領確認、一次回答、最終回答、次回更新日のルールがあるか
対象版数
製品名・対象版数・構成が正確に切れるか
判断
影響あり/なし/調査中を、明確な理由付きで整理できるか
証跡
どの資料を見てそう判断したか、後から確実に辿れるか
提出運用
回答書、承認、提出履歴、差し戻し履歴が残るか
この6つのどこで止まるかを見れば、監査前に直すべきポイントが見えてきます。
自己点検チェックリスト(監査前に見る版)
以下は、そのまま社内レビューで使える簡易チェックリストです。
目安:どのくらい埋まっていればよいか
このチェックを使う時、最初から満点を目指す必要はありません。ただし、監査やOEM照会の直前なら、少なくとも次の状態は確保しておきたいです。
まだ危ない状態
- 窓口はあるが、期限や更新日の運用が無い
- 影響あり/なしを口頭やメールで言うだけで、証跡が追えない
- 回答書は都度作っているが、版数や提出履歴が曖昧
最低限“監査で戦える”状態
- 窓口、SLA、対象版数、判断根拠、承認線が通っている
- 調査中案件に「次回更新日」が確実に入っている
- 提出履歴が案件IDで辿れる
監査前に優先して見直すべき3項目
時間が無い時は、全部を一度に直そうとしない方が安全です。特に優先して対策すべきなのは以下の3つです。
1次回更新日が無い案件
調査中(under_investigation)のステータスなのに「次回更新日」が無い案件は、監査でもOEM照会でも一番弱いです。これがあると「放置していない(コントロール下にある)」と言えなくなります。
2対象版数が切れない案件
対象製品名だけで、対象版数が「最新版」などと曖昧な書き方になっていると、かなり高い確率で差し戻されます。脆弱性対応の基本は構成管理であるため、版数は最優先で揃えてください。
3判断根拠の証跡が無い案件
「影響なし」という結論だけがあり、根拠資料(SBOMや試験結果)が辿れないと、監査で必ず説明に詰まります。すべてを添付できなくても、最低限「参照先ID」や「保存場所のリンク」だけでも残してください。
よくある差し戻しポイント
監査やOEM照会で差し戻されやすいのは、だいたい次のようなケースです。
- 「影響なし」とあるが、理由が書かれていない
- 対象製品名はあるが、対象版数が無い
- 調査中なのに更新予定日が無い
- 承認した人が誰か分からない
- 証跡ファイルはあるが、回答書とIDでつながっていない
これらは高度なセキュリティ技術の問題ではなく、運用と記録(プロセス)の問題です。
だからこそ、短時間の自己点検でかなり改善できます。
FAQ:監査に向けた自己点検
A. まずは、窓口、SLA、対象版数、判断、証跡、提出運用の「6観点」で見てください。高価なツールの有無よりも、プロセスが属人化せず「再現できるか」が重要です。
A. 「次回更新日(の入力)」「対象版数(の特定)」「判断根拠(証跡の紐付け)」の3つです。ここが抜けていると、説明責任が果たせず差し戻しの原因になりやすいです。
A. いいえ。重要なのは、後から辿れることです。社内システムの証跡IDや、共有フォルダのリンクなどが回答書の控え(正本)に紐付いていれば、監査への防御力はかなり高くなります。
監査前に自社のPSIRT運用をレビューしませんか?
OEM調査依頼・監査対応において、自社の現在の運用フローに「抜け漏れ」がないか。SLAや証跡の管理をどう整備すれば監査に耐えられるか、実務目線で進め方を整理したい方はご相談ください。
ツールで抜け漏れを防ぎ、回答書作成を自動化する流れを見る