“影響なし”OEM回答文テンプレ（日本語）｜証跡・SLAまで抜けない書き方

コピペ用：“影響なし”OEM回答文テンプレ（日本語）

使い方： メール/回答書に貼り、【】だけ埋めてください。
※「影響なし」を断定しすぎないために、前提条件と証跡を必ず入れます。

回答文テンプレート

件名：【CVE-____】調査結果（一次回答）：影響なし（not affected）【1. 結論】当社製品【製品名】（対象版数：【v__〜v__】※暫定/確定）は、現時点の評価では当該CVEの影響を受けません（影響なし）。【2. 理由（いずれかを選択）】理由区分：【A 非搭載 / B 到達性なし / C 影響範囲外 / D 緩和済み】 - A 非搭載：SBOM/構成表上、該当コンポーネント【名称・版数】の搭載が確認できません。 - B 到達性なし：当該ECU/機能は外部到達経路（通信/診断/近距離IF）が成立しない前提です。 - C 影響範囲外：当社搭載版数は影響対象外の範囲です（影響対象：【__】／当社搭載：【__】）。 - D 緩和済み：当社構成では【設定/無効化/制限】により成立条件が満たされません。【3. 前提条件（重要：条件が変わると再評価）】 - 前提：【例：診断機能は出荷設定で無効／外部IFなし／特定構成のみ】。 - 前提変更（例：OTA導入、設定変更、派生構成追加）の場合は再評価します。【4. 証跡（参照先）】 - SBOM/構成表：ID【__】（該当行/該当箇所：【__】） - 仕様/設定根拠：文書ID【__】、設定ID【__】、試験メモID【__】等【5. 次回更新（SLA）】 - 追加確認が不要：前提変更がない限り、本結論を維持します。 - 追加確認が必要：次回更新日【YYYY-MM-DD】に、確認結果を更新連絡します。以上、よろしくお願いいたします。連絡先：【担当部署/担当者名】【メール/電話】案件ID：【INC-____】（参照用）

送付前チェックリスト（最低限）

対象製品名と対象版数が書けている（暫定/確定も明記）
理由区分（A〜D）が1つに寄っている
前提条件が1行以上ある（設定/構成/到達性）
証跡（参照先ID） がある（“探せる”状態）
調査中要素があるなら 次回更新日（SLA） がある

この記事のテンプレを自社向け（製品構成・SLA・承認線）に調整したい方はご相談ください。

【無料】オンライン相談を予約する

書き方・運用のコツ（兼務でも破綻しない）

「影響なし」＝条件付きにする（前提を書かない断定は後で危険になります）。
証跡は“添付”より“参照ID”が強い（監査で確実に再現できるようになります）。
SLA（期限）が短いときは、一次回答＝受領＋暫定結論＋次回更新日 で守ります。
理由区分（A〜D）を固定し、社内で言い回しを統一するとレビューが速くなります。
将来の構成変更（OTA/通信の追加など）を再評価トリガーに入れます。

よくあるNG例（差し戻しパターン）

「閉域なので影響なしです。」

→ どこまで閉域か／診断・OTAの例外／前提条件／証跡が無く、確実に追加質問が来ます。

OK (最小)

「外部IFなし（診断は整備時のみ認証ツール）という前提で到達性が成立しない。
根拠：IF一覧Doc-、設定Config-、SBOM-__。前提変更時は再評価。」

Auto PSIRT Cloudに落とすポイント（運用化の設計）

テンプレを“属人化”させないコツは、文面より先にフィールド化（入力欄の固定）です。最低限、次を項目として固定すると回ります。

案件ID ／相手期限／一次回答期限／次回更新日（SLA）
対象製品・対象版数（暫定/確定）
結論（not_affected）／理由区分（A〜D）／前提条件
証跡リンク（SBOM行、仕様、設定、試験メモ）

→ これが揃うと、回答文はシステムからテンプレに自動差し込みするだけになります。

FAQ：影響なしの回答について

Q1. 「影響なし」と断定して問題ないですか？

前提条件が不変で、証跡が揃っている場合は可能です。ただし実務では、前提条件＋再評価トリガーを添えて“条件付き影響なし”にする方が安全です。

Q2. 証跡はどこまで必要ですか？

最低限「SBOM/構成表の参照ID」「仕様/設定の参照ID」の2点です。ファイル添付より、後から辿れる参照先が監査に強いです。

Q3. SLAが短くて結論が固まりません。

「受領＋暫定結論（調査中でも可）＋次回更新日」を先に返してください。沈黙が最もリスクです。

“影響なし”OEM回答文テンプレ（日本語）
（証跡・SLAまで抜けない書き方）