実務ガイド

PSIRT運用フロー図解
(受付→トリアージ→対外回答を1枚にする)

PSIRT運用が止まる典型は「担当者の能力不足」ではありません。
フロー(手順)が1枚で共有されていないことが原因です。

  • 入口がバラバラ(個人メール、営業経由、OEMポータル…)
  • 期限(SLA)が曖昧で、一次回答が遅れる
  • トリアージ基準が属人化し、「影響なし」が根拠なしで出てしまう
  • 証跡(エビデンス)が散らばって監査で再現できない

そこでこの記事では、Tier2〜Tier4の兼務体制でも回るように、「受付→トリアージ→対外回答」を 1枚にまとめたPSIRT運用フロー と、そのまま実装できる手順を提示します。

全体像を先に見直す

PSIRT全体の体制やSBOM・CVE対応までの俯瞰が必要な方は、こちらのガイドを先にご覧ください。

図解:PSIRT運用フロー(1枚版)

まずは、運用を「入口→判断→返す→残す」に割り切ります。以下が 1枚で共有するための最小フロー です。

【入口】 OEM照会 / CVE通知 / 社内検知 / 研究者報告

① 受付(Intake)

  • 案件ID採番/期限(受付・一次・最終)記録/対象範囲を仮固定
  • 証跡フォルダ作成(依頼原本・調査・回答書・提出履歴)
  • 受領確認(1営業日以内目標)

② 一次トリアージ(Triage)

  • 3分類:対応必須/要確認/対応不要
  • “調査中+次回更新日” を許可(一次回答)

③ 技術評価(Investigation)

  • 対象製品・対象版数の確定
  • 到達性(外部IF/実行経路)と影響範囲の確認
  • 対策方針(修正/緩和/受容)決定

④ 対外回答(External Response)

  • 結論→根拠→対応方針→証跡(参照先)で回答書を作成
  • 承認(上長/品質)を通して提出

⑤ クローズ(Close)

  • 提出履歴を保存/追加質問をチケットに集約
  • ナレッジ化(次回の再利用)

このフローを1枚にすると、担当が変わっても「次に何をするか」がブレません。また、“一次回答”と“最終回答”を分けるだけで、期限超過が激減します。

実装手順:このフローを「今日から回る形」に落とす

図は描けても、現場で回らないのは「ルールと成果物」がないからです。以下の順番で、最小セットを揃えてください。

Step1:入口を1本にする(受付の統一)

入口が散らばると、漏れます。まずはこのどちらかに固定します。

  • 共有メール(例:psirt@)
  • 受付フォーム(問い合わせ/照会の入力項目を統一)
入口(フォーム)を揃える

フォームで受ける場合の「入力項目の雛形」はこちらで参照できます。

Step2:SLA(社内目標時間)を仮で置く

厳密な数値は不要です。兼務でも置ける最小例:

  • 受領確認: 1営業日以内
  • 一次回答(影響あり/なし/調査中+更新日): 3〜5営業日以内
  • 最終回答(根拠・証跡込み): 10営業日以内(案件で調整)

ポイントは「一次回答=調査中」を運用として許可することです。“黙る”より“調査中+更新日”の方が、OEM側の不信感が減ります。

Step3:チケット(案件台帳)の必須項目を固定する

ツールは何でもOKです(スプレッドシートでも始められます)。ただし、項目を固定しないと属人化します。

必須項目(最小)

  • 案件ID(自社)/OEM案件番号(ある場合)
  • 期限(受付・一次・最終)
  • 対象製品・対象版数(暫定→確定の履歴を残す)
  • 一次トリアージ(3分類)
  • 結論(影響あり/なし/調査中)
  • 根拠メモ(1〜3行でOK)
  • 証跡の参照先(フォルダURL/証跡ID)
  • 次回更新日(調査中のとき必須)
  • 承認者/提出日/提出方法(メール/ポータル)

Step4:証跡(エビデンス)を“後から集めない”仕組みにする

監査で詰むのは、「影響なし」と言った根拠が消えることです。初動(受付)の時点でフォルダを作り、そこに集約します。

推奨フォルダ(そのまま使える)

  • 00_依頼原本(メールPDF、質問票、ポータル画面)
  • 01_範囲(対象製品・版数の確定メモ)
  • 02_調査(SBOM/部品表、設定、IF仕様、確認手順)
  • 03_回答書(社内ドラフト/提出版)
  • 04_提出履歴(送付メール、受付証跡、再提出)
  • 05_追加質問・是正(Q&A、是正計画)

“添付できない証跡”が多いほど、回答書に 証跡ID/保管場所/対象版数 を書ける形にしておくと強いです。

Step5:対外回答は「結論→根拠→対応方針」で固定する

回答書の型は、どのOEMでも通りやすい順番に寄せます。

  1. 結論(影響あり/なし/調査中)
  2. 対象範囲(製品名・版数)
  3. 根拠(何を確認したか)
  4. 対応方針(暫定策・恒久策・次回更新日)
  5. 証跡(添付 or 参照先)

ここまで揃うと、PSIRT運用は「職人芸」ではなく「業務」になります。

自社に必要なPSIRT立ち上げ・運用設計を整理したい方はご相談ください。

無料オンライン相談

よくある失敗(この3つを潰すだけで安定します)

  • 入口が複数で、案件IDが振られず漏れる
  • 一次回答の文化がなく、最終回答だけを狙って期限超過する
  • “影響なし”の根拠が残らず、追加質問・監査で再炎上する

FAQ:PSIRT運用フローのやり方

Q1. PSIRT運用フローは、最小で何を決めれば回りますか?

最小は「入口(窓口)」「SLA(受領/一次/最終)」「3段階トリアージ」「証跡フォルダ」「回答書の型(結論→根拠→対応方針)」の5つです。

Q2. “調査中”で返すのはまずいですか?

まずくありません。一次回答として「調査中+次回更新日」を返す方が、黙って期限を超えるより信頼を落としにくいです。

Q3. トリアージは何段階にすべきですか?

兼務体制なら、まずは3段階(対応必須/要確認/対応不要)で十分です。判断根拠を1行でも残せる形にすることが重要です。

Q4. 証跡(エビデンス)は全部添付しないといけませんか?

状況によります。添付できない場合でも「証跡ID/保管場所/対象版数」を回答書に書けるようにしておくと、監査・追加質問に耐えやすくなります。

次に読む

そもそもPSIRTの定義やOEMの期待値をおさらいしたい方はこちら。

この運用フロー、システムで自動化しませんか?

Auto PSIRT Cloudなら、ここで図解した「受付→トリアージ→対外回答」のフローがそのままシステムとして組み込まれています。

CVEトリアージ・業務フローのデモを見る