実務ノウハウ

PSIRT内製 vs 外部委託 vs 共同センター
(中小サプライヤーの費用・責任・SLA比較)

自動車OEMへ部品を納入する中小サプライヤーにとって、いま本当に難しいのは「PSIRTが必要かどうか」ではなく、「どの体制なら現実に回るか」です。

JAMA(日本自動車工業会)のサイバーセキュリティ推進活動では、ガイドライン、解説書、チェックシート、FAQ、自己評価提出方法、経営層+担当者向け説明会資料が継続的に公開され、2026年には中小企業向けのレベルアップ手引きも公開されています。
2025年度の説明会資料も、経営層向けにはサイバー脅威が経営へ与える影響を、担当者向けには対策の進め方と自己評価結果の提出方法を扱っています。
つまり、PSIRTは現場の担当者だけの頑張りで片付くテーマではなく、経営と現場の両方で設計すべき運用課題になっています。

しかも、これは机上の話ではありません。JAMA/JAPIAの説明会資料では、2022年の自動車部品製造におけるランサムウェア被害が取引先メーカーへ波及し、14工場28ラインが停止した事例や、2023年の名古屋港コンテナターミナルの障害で約3日間の操業停止と約2万本のコンテナ搬出入への影響があった事例が紹介されています。
製品、工場、物流のどこで止まっても、最終的に「どう受け付け、どう切り分け、どう説明し、どう是正するか」というPSIRT的な対応能力が問われます。

結論を先に言うと、中小サプライヤーではいきなり「完全内製」を目指すより、受付・監視・一次切り分けは「外部委託または共同化」し、製品影響判断・顧客回答承認・是正優先度の決定は「社内」に残す設計の方が失敗しにくいです。

内製が強くなるのは、脆弱性通知の件数が増え、OEMごとの個別要求が強く、知見を社内に蓄積する投資回収が見込める段階になってからです。

導入(対応の全体フロー)

そもそもPSIRTとして「社内でどんな役割とプロセスを持たなければならないか」の全体像についてはこちらをご確認ください。

この記事でいう3方式

まず、本記事で比較する「3つの体制」の定義をはっきりさせます。

内製

PSIRT窓口、脆弱性情報の監視、一次トリアージ、製品影響判定、顧客回答、是正推進、記録管理までを基本的にすべて自社のリソースで持つ方式です。

外部委託

PSIRT窓口、外部監視、一次切り分け、進捗管理、回答ドラフト作成などを外部の専門会社(BPO)に任せ、自社は製品への影響判断とOEMへの承認に集中する方式です。

共同センター

複数社(グループ企業や協同組合等)で共通の受付、監視、一次切り分け、台帳などを共同化し、個社ごとの製品影響判定や顧客承認は各社に残す方式です。

※ここでいう共同センターは業界標準の正式名称ではなく、複数社で共通機能を持つ運用形態の総称として使っています。

なお、PSIRTには単一の正解テンプレートがあるわけではありません。
FIRSTの PSIRT Services Framework でも、PSIRTは製品を対象にする点でCSIRTと異なり、しかも組織の事業特性、ポートフォリオ、組織構造、開発戦略によって形が変わるため、one-size-fits-all(万能の形)ではない と説明されています。first.org

費用比較で見るべきは「単価」ではなく「どのコストが見えるか」

PSIRT体制の比較でよくある失敗は、BPOの「月額費用」だけを比べて高い/安いを判断することです。
実際には、PSIRTの費用は次の3層に分かれます。

  1. 初期整備コスト: 窓口、フロー、責任分界、台帳、テンプレート、エスカレーション、証跡管理の仕組みを作る費用です。
  2. 月次固定コスト: 日々の監視、受付、会議体、教育、レビュー、チケット(台帳)運用のための稼働費用です。
  3. 案件変動コスト: 影響あり案件の深掘り調査、OEMへの個別回答作成、緊急案件対応、是正方針の社内調整などの費用です。

この観点で見ると、各方式のコスト構造の違いがはっきりします。

  • 内製: 外部への「契約費用(請求書)」が見えにくい代わりに、自社社員の**人件費と教育費(立ち上げ学習コスト)**が水面下で最も積み上がりやすい方式です。
  • 外部委託: 初期と月次の契約費用が見えやすく、立ち上げも速い一方で、OEMからの照会や脆弱性案件が増えると**追加対応費(従量課金)**が膨らみやすい傾向があります。
  • 共同センター: 共通機能を頭割りできるため安く見えますが、参加企業ごとに製品台帳の形式、承認者、OEM回答ルールがばらつくと、**共通化するための事前の調整コスト**が急に増えます。

実務上の目安としては、「件数が少ない立ち上げ初期は外部委託が有利」「似た課題を持つ複数社で標準化できるなら共同センターが有利」「件数が増えてOEM個別対応が濃くなると内製が逆転(回収)しやすい」と考えると判断しやすくなります。

責任分界は「誰が作業するか」と「誰が責任を持つか」を分けて考える

ここが一番重要です。外部委託や共同センターを使うと、つい「脆弱性対応の責任もすべて外へ出せる」と誤解されがちですが、そうはなりません。

FIRSTの PSIRT Services Framework では、PSIRTは他部門から独立して単独で動くのではなく、組織内の他機能と連携して運営される前提です。
また、PSIRTの位置づけや権限は経営層の承認を必要とし、経営層はポリシーや対外コミュニケーション、重大案件の承認に関与しうるとされています。さらに、法務、コンプライアンス、マーケティング、営業など、複数の部門がPSIRTプロセスに関わることも明示されています。first.org

この構造から逆算すると、「外に出せるのは“業務(作業)”であって、“最終責任”ではない」と考えるのが安全です。中小サプライヤーであっても、少なくとも次の責任は社内に残すべきです。

社内に残すべき「責任」
  • どの製品が影響を受けるかの最終判断
  • OEMや顧客へ出す回答の最終承認
  • 是正の優先度と実施判断
  • 出荷継続、停止、暫定対策の判断
  • 経営報告と重大案件のエスカレーション
外へ出しやすい「作業」
  • 脆弱性情報の監視(スクリーニング)
  • 受付窓口の運営
  • 一次トリアージ(足切り)
  • チケット起票と期限管理
  • 回答ドラフトの作成
  • 証跡の整理
  • 定例会の事務局運営

つまり、比較の軸は「全部を誰がやるか」ではなく、「どこまでを共通化・外部化し、どこから先を自社判断に残すか」の設計のしやすさになります。

SLA比較は「受付時間」ではなく「工程ごとの約束」で設計する

PSIRTのSLA(サービスレベルアグリーメント)というと、「24時間365日受付」「1営業日以内に返信」といった単純な数字だけを思い浮かべがちです。しかし、PSIRTの仕事はもっと分解して考えるべきです。

FIRSTの枠組みでも、PSIRTには受け付け、トリアージ、影響製品の特定、是正計画、リリース計画、下流ステークホルダーへの案内、進捗共有などの工程が含まれます。しかも、ステークホルダーには迅速で明確な案内が必要であり、対策や修正は予測可能なスケジュールで提供されることが望ましいとされています。first.org

そのため、中小サプライヤー向けのSLAは、次のように「工程別」で決めるのが現実的です。

  • 受付確認 1営業日以内
  • 一次切り分け 2〜3営業日以内
  • 影響有無の暫定回答 5営業日以内
  • OEMへの中間報告 5〜10営業日以内
  • 是正計画の提示 重大度別に設定(例: Criticalは14日等)
  • 月次レビュー 未解決案件、期限超過案件の確実な確認

このとき、各方式には次のようなSLA上の長所とボトルネックがあります。

  • 内製: 社内事情に合わせて柔軟にSLAを設計・変更しやすい反面、担当者の不在や他業務との兼務によってSLAが遅延・形骸化しやすい
  • 外部委託: 受付や一次応答のSLAは機械的に守られやすい反面、自社にボールが渡った後の「製品影響判定の待ち時間」が全体のボトルネックになりやすい
  • 共同センター: 参加企業間で標準SLAを作りやすい反面、企業ごとに社内承認ルートが違うと、結局そこが最長工程となり足並みが揃わない

外部委託や共同センターを利用する際、SLAの管理や回答の承認フローをクラウド上でどう連携するか、見てみませんか?

共同PSIRT運用のイメージをデモで確認する

どの方式が向いているか

内製が向く会社

ソフトウェア搭載部品が多い。OEMごとの要求差が大きい。脆弱性通知や問い合わせがすでに増えている。品質保証、設計、製品担当の連携がすでにある。
→ こうした会社は、ノウハウを知見として社内に貯めるメリットが投資を上回るため、内製が合います。

外部委託が向く会社

まず窓口を早く整えたい。兼務担当が1人しかいない。今は件数が少ないが、OEM監査や説明に備えたい。監査や自己評価に向けて、証跡付きで運用を作りたい。
→ こうした会社は、最初から完全内製にこだわって時間を浪費するより、外部委託(BPO)で立ち上げ速度とプロセスの型を優先した方が安全です。

共同センターが向く会社

グループ会社、系列、地域クラスター、業界団体内などで、似た規模・似た悩みを持つ会社が複数ある。受付、監視、一次切り分け、定例運営、回答テンプレートを共通化しやすい。
→ こうした場合は共同センターが非常に有効です。ただし、前提として「製品台帳、サポート期限、承認ルート、OEM向け回答フォーマット」を統一する努力が必要です。

よくある失敗

  • 外部委託したのに「社内の最終判断者」を決めていない
    これが一番多い失敗です。BPO側で受付やドラフト作成だけが早く進んでも、自社で「これで提出してOKか」を判断する人がいないため、結局OEMへの回答が出ません。
  • 共同センターで各社のルールがバラバラのまま
    各社で製品一覧の書き方、SBOMの保管場所、暫定対策の出し方が揃っていないと、共通化したつもりが「毎回個別調整」になり、コストもスピードも悪化します。
  • 内製で専任ゼロのままSLAだけ厳しく設定する
    リソースの裏付けがないまま「24時間以内に回答」などのルールを作っても、担当者の善意(残業)で回る期間は短く、いずれ必ず運用が止まります。

迷ったときの判断基準は5つで十分

どの体制にするか迷ったら、次の5つの質問だけを自社に投げかけて確認してください。

  1. 年間でどれくらいの通知・問い合わせが来そうか?
  2. 「製品への影響判定(技術的評価)」をできる人が社内にいるか?
  3. 納入先OEMごとの回答差分(個別要求)がどの程度あるか?
  4. 緊急時に「最終回答・対策実行」を承認する役員・部長が決まっているか?
  5. 製品台帳、SBOM、サポート期限の管理が最低限できているか?

この5つのうち、「件数がまだ少なく、社内の技術判断者も限られており、まず窓口の整備が先」であれば外部委託が向きます。
「複数社で共通の型に合わせやすい条件がそろう」なら共同センター。
「件数が増え、個社ごとの判断の濃さが増しており、知見を内製化した方がスピードもコストも速い」なら内製です。

まとめ

PSIRT体制の比較で本当に見るべきなのは、月額費用の安さではありません。
「どの方式なら、自社の製品に対する判断責任を保ったまま、必要なSLAで監査に耐える運用を回せるか」 です。

「共通化できるところは外に出す。
顧客に約束するところは社内に残す。」

中小サプライヤーにとっての現実解は、多くの場合このバランスに落ち着きます。
この線引きができれば、内製か外部委託か共同センターかという議論は、感覚論ではなく具体的な「運用設計」の話に進めることができます。

関連資料

どの体制を選ぶにせよ、社内で最低限決めておかなければならない「最小体制(誰がやるか)」のチェックリストはこちらです。

自社に合うPSIRT体制を具体化しませんか?

製品数、OEMからの要求レベル、現在の担当人数、希望するSLAをもとに、内製・外部委託・共同センターのどれが最も無理なく立ち上がるか。自社に最適な運用体制とツールの活用方法を相談ベースで整理したい方はご相談ください。

【無料】オンライン相談を予約する