取引先/OEM向け「PSIRT体制説明」1枚資料テンプレ｜そのまま使える雛形

そのまま使える：1枚資料テンプレ

使い方： PowerPoint / Word / Google Docs などにそのまま貼り、【】だけ埋めてください。
相手に見せる前提なので、社内用語は減らし、短文でまとめます。

1枚資料テキスト（コピペ用）

【タイトル】 PSIRT体制のご説明（【会社名】）【1. 目的】当社は、製品に関する脆弱性・セキュリティ課題への対応を行うため、PSIRT運用を整備しています。【2. 窓口】 - 受付窓口：【メールアドレス / フォームURL】 - 受付対象：脆弱性情報、影響有無の照会、セキュリティ関連の問い合わせ【3. 役割分担】 - 受付/案件管理：【部署名】 - 技術評価（対象版数・影響確認）：【部署名】 - 対外回答（回答書作成/提出）：【部署名】 - 承認：【役職/部署名】【4. 基本フロー】 1. 受領 2. 対象版数・構成確認 3. 影響評価（影響あり/なし/調査中） 4. 回答作成・承認 5. 提出・必要時の更新【5. 期限管理（SLA）】 - 受領確認：【例：1営業日以内】 - 一次回答：【例：3〜5営業日以内】 - 最終回答：【例：案件に応じて設定】 - 調査中案件は次回更新日を設定【6. 証跡の考え方】 - 対象版数、構成情報、判断理由、提出履歴を記録 - 必要に応じてSBOM/構成表/試験結果等を根拠として参照【7. 連絡方針】 - 影響あり/なし/調査中を、対象版数と根拠付きで回答 - 期限内に最終結論が難しい場合は、中間報告と更新予定日を提示

この記事のテンプレを、自社の組織構成やSLAに合わせて調整したい方はご相談ください。

【無料】オンライン相談を予約する

使い方のコツ

1. 役割は“部門名”より“何をするか”で書く

「品質保証部」「設計部」だけだと相手は役割を想像しにくいです。
受付/案件管理、技術評価、対外回答、承認 のように、動作で表す方が伝わります。

2. SLAは厳密値より“運用がある”ことを示す

細かい数値よりも、

受領確認
一次回答
調査中の更新

があることを示す方が、OEMには「放置されないな」と伝わりやすいです。

3. 証跡は“全部見せる”ではなく“持っている”を伝える

1枚資料では、証跡の詳細なリストを並べる必要はありません。
「対象版数・判断理由・提出履歴を記録している」と書ければ十分です。

よくあるNG例（説明資料として弱くなるパターン）

NG1：組織図だけ載せる
→ 箱だけ見せられても、誰が何をするか分かりません。
NG2：社内手順を細かく書きすぎる
→ 相手にとって必要以上に重い資料になり、読む気を削ぎます。
NG3：窓口が個人名だけ
→ 異動や不在時に対応が止まるのではないかと不安に思われます。
NG4：期限の考え方が無い
→ 「運用が回っている」印象にならず、結局監査で突っ込まれます。

Auto PSIRT Cloudに落とす時のポイント

この1枚資料で書いている内容は、そのままシステムの運用項目にもできます。

窓口
役割分担
SLA（期限）
対象版数
判断理由
提出履歴

これらをシステム側でフィールド化すると、説明資料と実運用がズレにくくなります。

FAQ：体制説明資料の作り方

Q1. 1枚資料に必ず入れるべき項目は何ですか？

窓口、役割分担、基本フロー、SLA、証跡の考え方の5つです。これで相手は「運用があるか」を判断しやすくなります。

Q2. 組織図は必要ですか？

必須ではありません。むしろ1枚資料では、部門名より役割（受付、技術評価、回答、承認）を簡潔に示す方が伝わります。

Q3. 証跡はどこまで書けばいいですか？

詳細資料のリストを並べる必要はありません。「対象版数、判断理由、提出履歴を記録している」といった考え方（残し方のスタンス）までで十分です。

取引先/OEM向け「PSIRT体制説明」
1枚資料テンプレ
（そのまま使える雛形）