トリアージ判定シート(決定理由)テンプレ
(CVEを3段階で説明できる形にする)
CVEトリアージが回らない原因は、判断の難しさではなく 「決定理由が残らない/人によってブレる」 ことです。
結果として、OEM照会や監査でこうなります。
- 「影響なし」の根拠が説明できず、追加質問が止まらない
- 期限(SLA)だけが迫り、一次回答が遅れる
- 同じCVEを何度も調べ直す(判断が資産化されない)
そこで、期限(SLA)・影響・確度・対応方針を“3段階”で固定し、誰が見ても説明できる形にしたのがこの トリアージ判定シート です。
このシートで決めること(最小4項目)
ここが揃うと、VEX(影響あり/なし/調査中)への変換が一瞬でできます。
【定義】3段階ルール(コピペ用)
このルールをシートの別タブや社内Wikiに貼っておき、判断基準を統一します。
期限(SLA)
- 高: OEM/顧客期限あり(〜5営業日など)/一次回答必須
- 中: 期限あり(交渉余地あり)/定例内で一次回答
- 低: 期限なし/バックログ管理
影響(Impact)
- 高: 外部IFあり・遠隔成立の可能性/安全・出荷に関係/搭載台数が多い
- 中: 条件付き・限定範囲(特定機能/特定顧客)
- 低: 内部限定/機能未使用・無効/実行経路が成立しにくい
確度(Confidence)
- 高: 対象製品・対象版数が確定/搭載根拠(SBOM等)+一次情報(公告/修正)あり
- 中: 搭載候補だが版数未確定/情報不足(追加確認が必要)
- 低: 一般情報のみ/CPE一致レベル/搭載未確認
対応方針(Treatment)
- A:対応必須 (=VEX: Affected)
- B:要確認 (=VEX: Under Investigation/調査中+次回更新日)
- C:対応不要 (=VEX: Not affected/根拠+条件を残してクローズ)
【テンプレ】トリアージ判定シート(TSV)
ここから下をコピーして、ExcelのA1セルに貼り付けてください(タブ区切りで自動展開されます)。
“決定理由”の書き方(迷わない型)
シートの「決定理由」欄には、長文は不要です。以下の3要素を1〜3行で書くだけでOEM説明に通ります。
- 根拠(何を見たか): SBOM/部品表行ID、公告、試験、設定
- 結論の理由: 非搭載/到達性なし/影響範囲外/緩和済み
- 条件(前提): 機能無効、外部IFなし、特定構成のみ 等
このままのテンプレを、自社向け(製品/版数/証跡/承認線/SLA)に整備したい方はご相談ください。
【無料】オンライン相談を予約する付録:Auto PSIRT Cloudで“運用標準化”する時のポイント
このシートをシステム(Auto PSIRT Cloud等)に乗せる場合、以下の設計にすると自動化が活きます。
- 判定シートの列をそのまま チケット項目 にする(入力の迷いを消す)
- 証跡リンク/ID を必須化し、「影響なし」の再説明コストをゼロにする
- VEX(affected / not_affected / under_investigation)を固定し、OEM回答書にそのまま転記できる状態にする
FAQ:トリアージ判定シートについて
「影響あり/なし」よりも 決定理由(根拠・前提・対象版数) が監査やOEM照会で問われるためです。判定理由が残ると追加質問が減り、同じ判断を繰り返さずに済みます。
最初は十分です。細かくしすぎると入力が止まります。まず3段階で運用を回し、必要になった項目だけ増やす方が成功率が高いです。
次回更新日です。結論よりも「いつ確度が上がるか」を示す方がSLA運用が安定します。
対応方針A=affected、B=under_investigation、C=not_affected、のように単純に対応させるとブレません。
この判定シート、AIで自動入力しませんか?
Auto PSIRT Cloudなら、脆弱性情報を取り込むだけで、このシートに該当する「期限・影響・確度」の推測とVEXの一次判定をAIが自動で実施します。