PSIRT立ち上げに必要な最小人員と月間工数
兼務前提でどこまで回るか
自動車OEMへ部品を納入する中小サプライヤーでPSIRTを立ち上げるとき、最初に出る質問は「何人必要か」です。
ただ、実務ではこの聞き方だと見積もりを外しやすくなります。PSIRTは、受付、トリアージ、製品影響判定、顧客回答、証跡管理、月次レビューの束でできているからです。
JAMAのサプライチェーン向け公開資料では、自己評価、説明会、FAQ、手引きが継続して公開されており、2025年度説明会資料でも経営層向けと担当者向けで、対策の進め方と自己評価提出の進め方が案内されています。さらに中小企業向け手引きでは、事故対応体制と責任者の明確化、対応内容の記録、定期的な体制見直し、脅威情報の収集と共有が優先項目として整理されています。
FIRSTのPSIRT Services Frameworkでも、PSIRTは製品開発から切り離された孤立組織ではなく、より広いセキュアエンジニアリングの一部として動くものだとされています。つまり、中小サプライヤーに必要なのは「専任何人か」だけではなく、少人数でも役割が切れない体制です。
結論から言うと、兼務前提で最も現実的なのは「2人兼務+部長承認」です。
1人兼務でも窓口は作れますが、複数案件が重なった月、OEMごとの個別回答が増えた月、設計部門への深掘り確認が必要な月には、すぐに詰まります。
まず分けるべきは「立ち上げ工数」と「月間工数」
PSIRTの工数見積もりがずれる最大の原因は、立ち上げ時の一時工数と、運用開始後の月間工数を混ぜて考えることです。
立ち上げ初期は、窓口、責任分界、対象製品一覧、テンプレート、会議体を作る時間が必要です。運用開始後は、受付、トリアージ、製品影響判定、顧客回答、証跡更新、レビューが毎月発生します。
立ち上げ初期の一時工数の目安
| 作業 | 一時工数の目安 |
|---|---|
| 対象範囲と責任分界の決定 | 4〜6時間 |
| 受付窓口・連絡先・台帳の整備 | 3〜5時間 |
| 製品一覧・対象部品・SBOM/EOL情報の整理 | 6〜12時間 |
| トリアージ基準・回答テンプレート・エスカレーション整備 | 5〜8時間 |
| 月次レビュー会議・教育・初回リハーサル | 4〜7時間 |
| 合計 | 22〜38時間 |
この22〜38時間は、専任1人にまとめて乗せると重く見えますが、品質保証、設計、部長承認の3者で分ければ、2〜4週間で十分に着地する規模です。
逆に言うと、ここを最初に作らずに「案件が来たら考える」で始めると、月間工数は必ず膨らみます。
月間工数は、平常月でもゼロにはなりません
PSIRTは、問い合わせが来た月だけ動く仕事ではありません。
JAMAの手引きでも、責任者の明確化、対応記録、定期見直し、脅威情報の収集・共有が優先項目になっている通り、平常月でも最低限の運用は必要です。
運用開始後の月間工数の目安
| 作業 | 月間工数の目安 |
|---|---|
| 受付・監視・一次確認 | 2〜4時間 |
| トリアージ・担当アサイン | 2〜5時間 |
| 製品影響判定 | 4〜8時間 |
| OEM/顧客回答・社内調整 | 3〜7時間 |
| 証跡更新・月次レビュー | 2〜5時間 |
| 平常月の合計 | 13〜29時間 |
ここに、通常案件1件あたり8〜15時間、緊急度の高い案件1件あたり20〜40時間が追加で乗る、と考えると現実に近くなります。
覚え方としては、次の簡易式で十分です。
月間必要工数 平常運用13〜29h + 通常案件数×8〜15h + 緊急案件数×20〜40h
この式で見積もると、「人が足りない」のではなく、「平常運用を誰が持つか決まっていない」「設計回答の窓口がない」「SBOMや製品一覧が引けない」ことが工数増の本体だと分かります。
PSIRTの最小体制は「1人」ではなく「3ロール」
中小サプライヤーであっても、PSIRTの最小構成は実質的に次の3ロールです。
主担当
受付、台帳、進行管理、期限管理を持つ
技術窓口
製品影響判定、設計・ソフトの確認を持つ
承認者
顧客回答、優先度、エスカレーションを判断する
この3ロールを、1〜3人で兼務するのが現実的な立ち上げ方です。
つまり、「1人で回るか」という問いへの答えは、「1人で全部は回らないが、1人が主担当となり、技術窓口と承認者が固定されていれば最小運用までは回る」です。
1人兼務、2人兼務、3人兼務の違い
| 体制 | 役割の置き方 | 平常月の組織工数 | 案件が1件ある月 | 向いている状態 |
|---|---|---|---|---|
| 1人兼務 | 主担当1人、技術と承認は都度依頼 | 12〜22時間 | 20〜35時間 | まず窓口を整えたい立ち上げ初期 |
| 2人兼務 | 主担当 + 技術窓口で分担 | 16〜28時間 | 24〜42時間 | 最小限の運用を安定させたい時 |
| 3人兼務 | 主担当 + 技術窓口 + 品質/証跡担当 | 22〜38時間 | 32〜55時間 | OEM差分対応や改善会議まで回したい時 |
※この表とは別に、部長級の承認者が月0.5〜2時間ほど関与する前提です。
兼務体制で一番のボトルネックになる「情報共有」と「進捗管理」。
主担当と技術窓口が迷わず連携できる専用ツールの動きを見てみませんか?
1人兼務でどこまで回るか
1人兼務で回せるのは、あくまでPSIRTの最小運用です。
具体的には、受け付けを止めない、一次確認をする、簡易な影響確認を依頼する、回答ドラフトを作る、記録を残す、ここまでです。
逆に、1人兼務では難しいのは次のような状態です。
- 複数OEMへ並行して回答が必要
- 設計部門への深掘り確認が毎回発生する
- 回答案件の承認がすぐ取れない
- 月次レビューや再発防止まで手が回らない
- 担当者不在で受付が止まる
つまり、1人兼務は「始める」ことはできますが、「安定して回す」体制ではありません。
2人兼務が最も現実的な理由
中小サプライヤーで最もおすすめしやすいのは、「品質保証側の主担当1人 + 設計/ソフト側の技術窓口1人」です。
この形にすると、主担当は受付、トリアージ、顧客連絡、証跡を持ち、技術窓口は製品影響判定、修正可否、バージョン確認を持てます。
実務では、この切り分けができるだけで月間工数の見え方がかなり変わります。主担当に全部載せないため、案件が1件増えても崩れにくいからです。
2人兼務が成立しやすい会社には、次の共通点があります。
- 対象製品の一覧がある
- 設計またはソフト側の窓口が決まっている
- 顧客回答の承認者が決まっている
- 月1回のレビュー時間を確保できる
- OEMへの回答テンプレートをある程度そろえられる
この条件がある会社なら、最初から専任を置かなくても、十分に立ち上げられます。
3人兼務が必要になる境目
3人兼務に進むべきなのは、件数が多い会社よりも、差分が多い会社です。たとえば、次のような状態です。
- OEMごとに質問項目や回答粒度が違う
- ソフトウェア搭載製品が複数系列ある
- 月次レビューで未解決案件や是正状況まで追いたい
- 証跡整理や監査対応の負荷が高い
- 品質保証だけでは顧客対応が追いつかない
この場合は、品質/顧客対応と証跡管理を1人に切り出すだけで、主担当と技術窓口の詰まり方がかなり減ります。
3人兼務は贅沢ではなく、回答、技術判断、証跡の3つを分けるための最小増員だと考えた方が実務に合います。
工数が膨らむ会社には共通点がある
同じ1件の案件でも、工数が大きく増える会社には共通点があります。
- 対象製品一覧やSBOM、バージョン情報がすぐ引けないこと。
- 設計部門の確認先が毎回変わること。
- OEM向けの回答テンプレートや承認ルートが決まっていないこと。
逆に言えば、PSIRTの人員問題は、半分以上が体制の問題です。
人数を増やす前に、窓口、技術確認先、承認者、台帳、この4つを固定するだけで、月間工数はかなり読みやすくなります。
兼務で回らなくなった時のサイン
次の状態が2つ以上当てはまるなら、兼務の限界が近いと考えた方が安全です。
- 問い合わせが月2件あるだけで期限が後ろ倒しになる
- 主担当が休むと受付や進捗更新が止まる
- 影響判定に毎回1週間以上かかる
- 回答履歴や証跡が案件ごとに散らばっている
- 月次レビューが「開催できたりできなかったり」になっている
この段階では、専任化だけが答えではありません。
外部支援、共同運用、台帳整備、SBOM運用の整備で、増員なしでも持ち直せることがあります。大事なのは、人が足りないのか、役割が切れているのかを見分けることです。
まとめ
PSIRT立ち上げの最小人員を考えるときは、「何人必要か」だけでは足りません。
見るべきなのは、立ち上げ初期に22〜38時間の整備が必要で、運用開始後も平常月で13〜29時間の仕事が毎月発生するという事実です。その上で、通常案件1件あたり8〜15時間、緊急案件なら20〜40時間が追加で乗ります。
だから、中小サプライヤーの現実解はこうなります。
自社の製品数、OEM数、現在の担当人数を前提に、どこまで兼務で回るかを整理したい場合は、兼務で回る体制を相談するところから始めるのが最短です。
無理に専任化するより、まずは役割と月間工数を見える化した方が、立ち上がりは早く、失敗も少なくなります。
自社に合った兼務体制と工数をシミュレーションしませんか?
製品数、OEMからの要求レベル、現在の社内リソースをもとに、「1人でどこまで回るか」「誰を技術窓口に据えるべきか」を具体的に整理します。無理のない運用設計と、工数を削減するツールの活用方法をご相談いただけます。