入門解説

トリアージのやり方:
まず3つだけで分類する(はじめて用)

PSIRT業務がつらくなる原因は、セキュリティ知識の不足というより 「最初の仕分け(トリアージ)が無い/人によってブレる」 ことにあります。

  • OEMからの照会(期限あり)が突然来る
  • CVE通知や取引先通知が大量に来る
  • 調査が深掘りになって、一次回答の期限を落とす
  • “影響なし”の根拠が残らず、監査で説明できない

この状況を止めるコツは、最初から完璧な評価を狙わず、「まず3つだけ」で分類することです。

本記事では、PSIRT初心者向けに 三角形(3点)トリアージ として、迷わず回せる型に落とします。

トリアージから回答までの全体設計

PSIRT全体(窓口・SLA・証跡・OEM回答)を含む設計は、こちらのガイドにまとめています。

そもそもトリアージとは(やらないことが大事)

トリアージ=初動の仕分けです。
やるべきことは「分類して、期限を守って、次の一手を決める」こと。

逆に、トリアージで やらないこと はこれです。

  • いきなり原因究明まで踏み込む
  • すべてを“最終回答”として作り込む
  • 情報不足なのに沈黙する(期限超過が最悪)

トリアージの成功条件は “一次回答できる状態にする” ことです。

まず見るべき3つ(=三角形トリアージ)

トリアージで見るのは、結局この3点に収束します。

① 期限(SLA)

いつまでに何を返す必要があるか

② 影響(Impact)

安全・品質・出荷・顧客影響の大きさ

③ 確度(Confidence)

その情報が「本当に当社に当たる」根拠の強さ

この3点で、優先度と次アクションがほぼ決まります。

① 期限(SLA)の見方(最優先)

期限は、技術的重大度より強いことがあります(OEM照会は典型です)。

  • SLAあり(高): OEM照会、監査指摘、顧客期限、契約期限
  • SLA弱い(中): 取引先通知(期限はあるが交渉余地あり)
  • SLAなし(低): 一般CVE通知、ニュース、参考情報
初心者の鉄則: 期限があるなら、まず「受領+次回更新日」を返す。
完璧な結論を待つより、運用が回っていることの方が重要です。

② 影響(Impact)の見方(安全・範囲・止血可否)

影響は「スコア」ではなく、現場で説明できる要素で見ます。

  • 高: 安全に関わる可能性/外部IFから到達し得る/広範囲(搭載台数が多い)/出荷停止リスク
  • 中: 特定条件でのみ影響/限定範囲(特定ECU・特定顧客)
  • 低: 内部限定/機能が無効/実行経路がない(前提が固定)

③ 確度(Confidence)の見方(根拠が強いほど前に出す)

確度が低いと、調査を深掘りしても空振りになります。まず根拠の強さを見ます。

  • 高: 対象製品/版数が特定済み、再現手順あり、PoCあり、取引先から根拠提示あり
  • 中: 対象候補はあるが未検証、情報の粒度が粗い
  • 低: 噂レベル、一般論、CPE一致だけで実物未確認

監査の観点では、「影響なし」よりも “確度の根拠(なぜそう言えるのか/何を見たのか)” が問われます。

3点で優先度を決める(迷わない最小ルール)

三角形トリアージは、最初はこの“最小ルール”で十分です。

優先度 条件
P0(即対応) 期限が高い または 「影響高 × 確度高」
P1(優先) 「期限中」 または(影響高/確度高のどちらかが高)
P2(定例/保留) 期限なし & 影響低 & 確度低(=まず情報を集める)

※「確度低」でも期限が高い(OEM照会など)場合はP0です。この場合、やることは“結論”より 対象版数の切り方と次回更新日 の連絡です。

手順(ステップ):三角形トリアージを10分で回す

Step 0:まず1枚のチケットにする(入口の統一)

通知・メール・口頭依頼を、必ず案件IDに落とします。
(後から監査で「運用していた証拠」になります)

Step 1:期限(SLA)を埋める

  • 期限:YYYY-MM-DD
  • 一次回答期限:YYYY-MM-DD(自社SLA)
  • 次回更新日:YYYY-MM-DD(調査中でも必須)

Step 2:影響(Impact)を“言葉”で埋める

  • 外部IF:あり/なし(例:Bluetooth、Wi-Fi、CAN診断、OTA 等)
  • 影響範囲:広い/限定(例:全車種 vs 特定顧客)
  • 安全/出荷:関係あり/なし(暫定でOK)

Step 3:確度(Confidence)の根拠を書き残す

  • 対象版数が切れているか:暫定/確定
  • 根拠:SBOM/部品表行、供給元通知、再現、PoC、ログなど
  • 不足情報:何が足りないか(次の依頼が明確になる)

Step 4:P0/P1/P2を決め、一次回答の型で返す

  • P0:受領+暫定範囲+次回更新日(まず期限を守る)
  • P1:担当割当+調査計画+更新日
  • P2:保留理由+監視(定例で再評価)

【コピペ用】三角形トリアージテンプレ(チケット本文に貼る)

このテンプレートをチケットや台帳に貼って埋めるだけで、判断の記録が残ります。

案件名: 受付日: 発信元:OEM/取引先/社内検知/その他 期限(相手SLA):YYYY-MM-DD(なし/あり) 一次回答期限(自社SLA):YYYY-MM-DD 次回更新日:YYYY-MM-DD ①期限(SLA):高 / 中 / 低 根拠: ②影響(Impact):高 / 中 / 低 外部IF:あり/なし(内容:____) 範囲:広い/限定(対象:____) 安全/出荷:関係あり/なし(暫定可) ③確度(Confidence):高 / 中 / 低 対象版数:暫定()/確定() 根拠:SBOM/部品表行____/通知文書____/再現____ 優先度:P0 / P1 / P2 担当(Owner): 一次回答(要点):受領・暫定範囲・次回更新日 証跡リンク:フォルダ/チケットID____
実務テンプレ・SOPへ

受付・一次回答・証跡・承認線まで“抜け漏れ防止”で揃えたい場合は、こちらのチェックリストを活用してください。

脆弱性トリアージ対象をできる限り減らし、運用を楽にしたい方はご相談ください。

【無料】オンライン相談を予約する

OEM監査で見られるポイント(トリアージで残すべき証拠)

監査で問われるのは「判断が正しいか」だけではありません。
“その時点で合理的に判断した証拠が残っているか” です。

最低限、次を残しておけば強いです。

  • 期限(相手SLA)と一次回答・次回更新日の履歴
  • 対象版数(暫定→確定)の更新履歴
  • 影響評価の前提(外部IFの有無、機能の使用有無、範囲)
  • 確度の根拠(SBOM/部品表、通知原本、再現、チケット)

FAQ:トリアージのやり方について

Q1. トリアージと“影響判定”は同じですか?

同じではありません。トリアージは初動の仕分け(優先度と次アクションを決める)で、影響判定はその後の調査・結論作りです。まずは期限・影響・確度の3点で分類し、一次回答できる状態にします。

Q2. 情報が足りないとき、どう分類しますか?

「確度:低/中」として扱い、次回更新日を必ず設定してください。期限がある案件(OEM照会など)は、結論より先に「受領+暫定範囲+次回更新日」を返す方が運用として評価されます。

Q3. “期限がない”案件は放置していいですか?

放置はおすすめしません。P2(定例/バックログ)に落として、週次などの定例で再評価する仕組みが必要です。証跡として「なぜ後回しにしたか(影響/確度が低い)」を1行残すと監査に強くなります。

Q4. 三角形の3点のうち、どれを最優先に見るべきですか?

原則は 期限(SLA)です。期限があるのに沈黙すると、技術的に正しくても信用を失います。期限を守りつつ、影響と確度の根拠を固めていくのが現実的です。

次に読む

そもそもPSIRTの役割・やることを短く整理したい方はこちらをご覧ください。

日々のトリアージを、AIに任せませんか?

Auto PSIRT Cloudなら、毎日のCVE情報と自社のSBOMを自動で突合し、「対応必須か、無視してよいか」の初期トリアージをAIが自動で行います。

CVEトリアージ・影響判定のデモを見る