監査証跡チェックリスト
(提出エビデンス一覧:そのまま使える確認表)
OEM監査や調査依頼対応で本当に困るのは、「何を出せばいいのか分からない」よりも、出すべき証跡が散らばっていて揃わないことです。
よくある詰まり方は次の通りです。
- 回答書はあるが、根拠にした資料の参照先が書かれていない
- 対象製品名はあるが、対象版数が曖昧
- 調査中のまま提出していて、次回更新日(SLA)が入っていない
- 影響なし/影響ありの判断はあるが、証跡IDや保管場所が分からない
- 修正版を出したのに、更新記録や提出履歴が残っていない
このページでは、OEM監査・調査依頼対応でそのまま使える 「監査証跡チェックリスト」 を掲載します。
狙いは、提出前に“抜け漏れ”を一目で見つけることです。
使い方(最初にここだけ)
このチェックリストは、提出直前だけでなく、案件の途中から使うのが効果的です。
おすすめの使い方はこの3段階です。
必要な証跡が何かを先に決める(フォルダを作る)
揃ったものからチェックを付ける(証跡IDを振る)
漏れがないかを最終確認する(セルフチェック)
“提出直前に全部集める”運用だと、ほぼ確実に漏れます。
監査証跡チェックリスト(そのまま使える版)
このリストをスプレッドシートやチケットのテンプレートに貼り付けてご活用ください。
この記事のチェック項目を、自社の監査対応運用に向けて整えたい方はご相談ください。
【無料】オンライン相談を予約するチェックのコツ
1. 「証跡がある」だけでなく「辿れる」を確認する
ファイルが社内のどこかにあるだけでは弱いです。最低限、文書ID・リンク・保管場所 のどれかで辿れる状態にしてください。
2. “対象版数”が無ければ未完成
監査で一番よく差し戻されるのは、版数の曖昧さです。対象製品と対象版数が無ければ、証跡としては不十分です。
3. 調査中案件には“次回更新日”が必須
調査中のまま放置に見えないよう、いつ更新するか を証跡として残します。これがSLA運用の要です。
よくあるNG例(監査で刺されるポイント)
- 証跡はあるが、回答書と紐づいていない
→ 何の根拠か分からない - 画面キャプチャだけで終わる
→ 版数・対象範囲が追えず弱い - 提出履歴が残っていない
→ いつ誰に何を出したか説明できない - 更新日や改訂日がない
→ “いつ時点の情報か”が不明
Auto PSIRT Cloudに落とす時のポイント
このチェックリストは、そのまま運用システム(チケット)の項目にできます。
最低限、以下をフィールド化すると証跡が散らばりにくくなります。
- 案件ID
- 対象製品名
- 対象版数
- 結論(影響あり/なし/調査中)
- 証跡リンク/ID
- 次回更新日
- 提出履歴
- 承認者
これが揃うと、回答書作成や監査対応がかなり楽になります。
FAQ:監査証跡の集め方
必ずしも全部添付は不要です。重要なのは、回答書から「辿れること」です。証跡IDや保管場所が明記されていれば、参照型でも十分強いです。
対象版数と次回更新日です。特に調査中案件では、次回更新日が無いと放置に見えてしまいます。
はい。最初は十分です。むしろ、項目を固定して継続更新できることの方が重要です。
エビデンス集めを、システムで自動化しませんか?
Auto PSIRT Cloudなら、案件の管理から影響判定の記録、SBOM参照先、そしてOEM回答書の提出履歴まで、すべてが1つのチケットに紐づいて保存されます。「あの証跡どこだっけ?」を防ぎます。