実務ガイド

OEM/顧客への連絡設計
(誰に・いつ・何を伝えるか)

PSIRT運用で「技術より先に詰む」のが、OEMや顧客への連絡です。

脆弱性(CVE)やセキュリティ事象が発生したとき、連絡がこうなると危険です。

  • 遅い: 受領連絡がなく、相手が不安になって督促が来る
  • 薄い: 「調査中」だけで、次回更新日(SLA)がない
  • ブレる: 担当者ごとに言い回し・結論・対象版数の書き方が違う
  • 残らない: いつ誰に何を言ったか(証跡)が追えず、監査で再現できない

結論、連絡は“コミュ力”ではなく 設計 です。

「誰に・いつ・何を」伝えるかを 手順(ステップ)×成果物(証跡・文面・ルール)に落としておくと、兼務体制でも破綻しません。

全体像を先に見直す

連絡体制を含む「PSIRT運用の全体像」を先に押さえたい方はこちらをご覧ください。

先に結論:連絡設計は「3枚で完成」する

OEM/顧客連絡の設計は、最初から大規模に作る必要はありません。最小はこの3枚です。

連絡先マップ

= 誰に(Who)

相手先と社内の窓口・承認者をまとめた台帳

連絡タイムライン

= いつ(When)

受領・中間・最終・更新の目標時間(SLA)

文面テンプレ

= 何を(What)

受領/調査中/影響なし/影響あり 等の型

これが揃うと、OEM監査で問われる「継続運用」「期限順守」「説明責任」を満たしやすくなります。

なぜ「誰に」が難しいのか(OEM連絡の落とし穴)

OEM/顧客の窓口は1つに見えて、実務では複数に分かれています。

  • セキュリティ窓口: CSMS/PSIRT担当
  • 品質窓口: 品質保証、監査担当
  • 調達窓口: 取引・契約担当
  • プロジェクト窓口: 車種/システム担当

連絡設計がないと、「誰に出したか不明」「CC漏れ」「後から別部署から追加質問が来る」などの事故が起きます。

→ まずは “主窓口1つ + 副窓口(品質など)” に寄せて、CCルールを固定するのが現実的です。

連絡で最も大事な“いつ”(SLAの最小設計)

OEMが欲しいのは、完璧な最終結論より 「運用が回っている安心感」 です。
その安心感は、次の2つで作れます。

  • 受領連絡: 短い時間で返す(例:24h以内)
  • 次回更新日: 調査中でも必ず書く(例:2営業日後に更新)
推奨の最小SLA(兼務前提)例:
  • T0 依頼受領(案件ID付与)
  • T+24h 受領連絡(一次回答=暫定でも可)
  • T+72h 中間報告(対象版数の暫定、論点、次回更新日)
  • 期限日 最終回答(影響なし/あり、根拠、対策方針)

※相手の期限が短い場合は、最終回答が間に合わなくても「一次回答+次回更新日」で期限を守る設計にします。

「何を」伝えるかは5点固定でブレなくなる

OEM/顧客連絡で毎回書くべき情報は、結局この5点です(ここを固定すると強い)。

  1. 案件ID(追跡の軸)
  2. 対象範囲(製品名・対象版数:暫定/確定の明記)
  3. 現時点ステータス(影響あり/なし/調査中)
  4. 根拠・前提条件(証跡の参照先ID含む)
  5. 次回更新日(SLA)(いつ確度が上がるか)

この5点が入っていれば、受領連絡も中間報告も最終回答も「型」で回ります。

兼務でも破綻しない:連絡設計の手順(7ステップ)

Step 1

連絡対象を分類する(OEM/顧客/上流/社内)

最初に「誰に出すか」の粒度を揃えます。最低限はこの4分類でOKです。

外部①: OEM/顧客(期限・監査の主戦場)
外部②: 上流(サプライヤ/ベンダ)(情報入手先)
内部①: 技術(設計/開発)(根拠作り)
内部②: 承認(品質/上長)(外部送付の責任)
Step 2

連絡先マップ(誰に)を1枚で作る

連絡先マップは“台帳”です。形式はExcelで十分。必須列はこれだけ。

  • ・相手先名 / 部署 / 役割(セキュリティ or 品質)
  • ・連絡チャネル(メール、ポータル、指定様式)
  • ・主担当(To) / 副担当(CC)
  • ・代替連絡先(不在時)
  • ・備考(契約上の期限、言語、時差)
Step 3

連絡タイムライン(いつ)を固定する

相手期限に加え、社内SLA(受領・中間・最終)を置きます。
“期限がない案件”でも、社内SLAを置かないと放置になります。

Step 4

文面テンプレ(何を)を3種類だけ用意する

最初は多すぎると回りません。まずは 「受領連絡」「中間報告」「最終回答」 の3つだけで良いです(文例は後述)。

Step 5

承認ルールを最小で切る(事故を防ぐ)

外部連絡は、最低限「承認者」を固定します。
兼務でも “外に出す文面の承認だけ” は別に置くと事故が減ります。

Step 6

証跡を残す(監査で勝つ)

監査で効くのは「ちゃんと連絡した」証拠です。最低限これを残します。

  • 送信日時 / 宛先(To/CC) / 件名
  • 添付・提出物の版(v1/v2…)
  • 本文の要点(案件ID/対象版数/結論/根拠/SLA)
  • 次回更新日の履歴(守ったか)
Step 7

連絡を“運用フィールド化”する(属人化を消す)

テンプレ文章を頑張るより、入力項目(フィールド)を固定すると回ります。
(案件ID、対象版数、結論、理由、証跡、次回更新日…)
これができると、文章は差し込みで量産できます。

実務テンプレ

「承認者を置けない」「窓口が曖昧」など、最小体制の作り方を確認したい方はこちらのチェックリストへ。

コピペで使える:連絡テンプレ(受領/中間/最終)

ここでは「連絡設計」の要となる3テンプレを置きます(最小限)。

1) 受領連絡(一次回答テンプレ)

件名:【案件ID:____】調査依頼受領のご連絡(CVE-____) ご担当者様 本件、受領し調査を開始しました。 - 対象製品/版数:____(暫定/確定) - 現時点ステータス:調査中 - 次回更新日(SLA):YYYY-MM-DD に進捗をご連絡します 証跡:受付記録 INC-____

2) 中間報告(調査中+論点+次回更新日)

件名:【案件ID:____】中間報告(調査中)/次回更新日:YYYY-MM-DD - 対象範囲:____(暫定) - 未確定点:対象版数確定/到達性確認/上流回答待ち(該当を残す) - 現時点の見立て:____(影響なし寄り/影響あり寄り/未判断) - 次回更新日:YYYY-MM-DD(この日までに____を確定予定) - 証跡:SBOM-____/構成表-____

3) 最終回答(影響なし/あり の骨格)

※最終回答は別記事テンプレ(影響なし等)を使うのが安全ですが、ここでは骨格だけ示します。

件名:【案件ID:____】最終回答:影響(あり/なし) - 結論:____(影響あり/影響なし) - 対象製品/版数:____(確定) - 根拠:____(非搭載/到達性なし/影響範囲外 等)+証跡ID - 今後:____(再評価条件/暫定対策/恒久対策)

OEM調査依頼・監査対応の進め方を、自社の体制に合わせて整理したい方はご相談ください。

【無料】オンライン相談を予約する

よくある失敗(連絡設計がないと起きる)

  • 受領連絡がなく、期限前に督促が来る
  • 「調査中」だけで、次回更新日がない(放置に見える)
  • 対象版数が書けず、毎回追加質問で止まる
  • To/CCがブレて、後から別窓口から再依頼が来る
  • 言った言わないになり、監査で説明できない(証跡不足)

FAQ:連絡設計のやり方

Q1. 影響が確定していないのに連絡していいですか?

むしろ早い方が良いです。受領+次回更新日(SLA)があれば運用として成立します。沈黙が一番まずいです。

Q2. 「影響なし」でも連絡は必要ですか?

相手から照会が来ているなら必要です。結論だけでなく、対象版数・根拠・前提条件・証跡までセットで返すと追加質問が減ります。

Q3. 誰をCCに入れるべきですか?

最初は「主窓口(セキュリティ)+品質窓口」を基本にし、契約・プロジェクト事情で追加します。CCルールを固定するのがポイントです。

Q4. 監査で連絡設計は見られますか?

見られます。特に「期限運用(SLA)」「継続的な更新」「証跡(送信履歴・提出物版管理)」が説明できるかが問われます。

次に読む

「PSIRTの役割」や「OEMが本当に求めていること」を根本から復習したい方はこちら。

連絡の「型」をシステム化しませんか?

Auto PSIRT Cloudなら、この「5点の項目」を埋めるだけで、受領連絡・中間報告・最終回答のレポートを自動生成し、期限(SLA)アラートも一元管理できます。

OEM回答書作成の流れをデモで確認する