実務テンプレ

脆弱性対応の是正計画(CAPA)テンプレ
(OEM調査依頼で使える実務雛形)

OEM調査依頼や監査で「影響あり」となった後、必ず問われやすいのが 是正計画(CAPA:Corrective and Preventive Action) です。

「対策します」だけでは弱く、相手が見たいのは次の4点です。

  • いま何を止血するか(暫定対策)
  • なぜ起きたか(根本原因)
  • どう直すか(恒久対策)
  • どう再発を防ぐか(再発防止)

つまり、CAPAは単なる改善メモではなく、相手に “運用が回っている” ことを示す提出物です。

このページでは、そのまま使える 脆弱性対応の是正計画テンプレ と、書き方・運用のコツをまとめます。

導入(全体の流れを確認)

OEM調査依頼の初動から、回答書の作成・証跡の集め方までの全体設計はこちらをご覧ください。

まず整理:CAPAで最低限入れるべき項目

CAPAは細かくしすぎると運用が止まります。最小限、次の項目があれば実務では十分です。

  • 案件ID
  • 事象/CVE/依頼名
  • 対象製品・対象版数
  • 影響概要
  • 暫定対策
  • 根本原因
  • 恒久対策
  • 再発防止策
  • 責任者
  • 期限
  • 検証方法
  • 証跡ID/参照先
  • 承認者

コピペで使える:脆弱性対応の是正計画(CAPA)テンプレ

使い方: このまま回答書や社内様式(チケットなど)へ貼り、【 】だけ埋めてください。

capa_template.txt
【脆弱性対応 是正計画(CAPA)】 1. 基本情報 - 案件ID:【INC-____】 - 依頼元/OEM名:【____】 - 関連CVE/事象名:【CVE-____ / 事象名】 - 対象製品:【製品名】 - 対象版数:【v__〜v__】(暫定/確定) - 作成日:【YYYY-MM-DD】 2. 事象概要 - 何が起きるか:【____】 - 現時点の結論:【影響あり / 調査中】 - 影響範囲:【ECU/機能/顧客範囲】 3. 暫定対策(Containment / Mitigation) - 実施内容:【設定変更 / 機能無効化 / 運用回避 / 監視強化 等】 - 実施日:【YYYY-MM-DD】 - 前提条件:【____】 - 実施責任者:【____】 4. 根本原因(Root Cause) - 原因区分:【設計 / 実装 / 設定 / 構成 / 供給元 / 運用】 - 原因内容:【1〜3行で簡潔に】 - 根拠資料:【証跡ID / 文書名】 5. 恒久対策(Corrective Action) - 対策内容:【修正版リリース / ライブラリ更新 / 設計変更 等】 - 対象版数/予定版数:【____】 - 完了予定日:【YYYY-MM-DD】 - 責任者:【____】 6. 再発防止(Preventive Action) - 再発防止策:【レビュー追加 / 設定チェック / 監視項目追加 / 開発ルール更新 等】 - 適用範囲:【同系統製品 / 全製品 / 該当顧客向け】 - 実施期限:【YYYY-MM-DD】 - 責任者:【____】 7. 検証方法 - 暫定対策の確認方法:【____】 - 恒久対策の確認方法:【試験項目 / ログ / 再現確認 等】 - 完了判定基準:【____】 8. 証跡 - SBOM/構成表:【ID____】 - 設定/仕様書:【ID____】 - 修正チケット/試験結果:【ID____】 - 提出履歴:【ID____】 9. 承認 - 作成者:【____】 - 承認者:【____】 - 承認日:【YYYY-MM-DD】 10. 次回更新日(SLA) - 次回更新日:【YYYY-MM-DD】 - 更新予定内容:【暫定対策の確認 / 恒久対策の進捗更新 等】

この記事のテンプレを、自社の製品構成や運用体制に合わせて調整したい方はご相談ください。

【無料】オンライン相談を予約する

書き方のコツ(監査・照会を通すために)

1. 暫定対策と恒久対策を混ぜない

「設定で無効化した」ことと「根本修正した」ことは別です。前者は暫定対策、後者は恒久対策として分けて書きます。

2. 原因と対策を1対1で結ぶ

「原因が何で、その結果どの対策を打つのか」がつながっていないと、CAPAがただの“作文”になり、監査で突っ込まれます。

3. 期限は必ず「日付」で書く

「早急に」「速やかに」は監査で弱いです。YYYY-MM-DD で固定するとSLA運用として強くなります。

4. 証跡は添付できなくても参照できるようにする

証跡ID、文書名、保存場所が残っていれば、監査でも辿れます。「添付なし=証跡なし」ではありません。

5. OTAが絡むなら配布方法も書く

修正版をどう届けるかは、再発防止の一部です。工場更新、現地更新、OTAなど、現実の運用方法を明記すると通りやすくなります。

用語の補足

更新方法でOTAが絡む場合、監査でさらに突っ込まれることがあります。OTAに関する前提知識はこちら。

よくあるNG例(CAPAが差し戻される原因)

  • 原因が「調査不足」だけ
    → 何を直すべきか分からない(再発防止に繋がらない)
  • 暫定対策しか書かれていない
    → 恒久対策が無く、相手が不安になる
  • 責任者が無い
    → 誰が実行するか分からず止まる
  • 検証方法が無い
    → “やったつもり”で終わる
  • 次回更新日が無い
    → 調査中・対策中のまま放置に見える

Auto PSIRT Cloudに落とす時のポイント

このテンプレは、そのままシステムのワークフロー項目として使えます。
最低限、次をフィールド化すると運用しやすくなります。

  • 案件ID
  • 対象版数
  • 暫定対策
  • 根本原因
  • 恒久対策
  • 再発防止策
  • 責任者
  • 完了予定日
  • 次回更新日
  • 証跡ID

これが揃うと、回答書作成・進捗管理・監査対応が一本化しやすくなります。

FAQ:是正計画(CAPA)の書き方

Q1. CAPAは影響あり案件で必ず必要ですか?

OEMや監査の要求次第ですが、少なくとも「影響あり」となった案件では、暫定対策・恒久対策・再発防止の整理が求められやすいです。作っておくのが無難です。

Q2. 暫定対策だけ先に出しても大丈夫ですか?

大丈夫ですが、その場合でも「恒久対策の方針」と「次回更新日」を書いた方が通りやすくなります。いつ直るか分からない状態は相手を不安にさせます。

Q3. 根本原因がまだ確定していない場合は?

「暫定原因」と明記し、次回更新日を付けて運用してください。不確かなまま断定して後で覆る方が、監査や信頼関係において危険です。

回答書と是正計画、システムで一元管理しませんか?

Auto PSIRT Cloudなら、影響あり判定から暫定・恒久対策の入力、そしてOEM提出用フォーマットへの自動出力までを一気通貫でサポート。期限(SLA)もダッシュボードで管理できます。

OEM回答書作成の流れをデモで確認する