経営層向け|最小予算で始めるPSIRTと、後回しにしない理由
自動車OEMへ部品を納入する中小サプライヤーにとって、PSIRTは「セキュリティ担当者が詳しければよい」業務ではありません。OEMからの調査依頼、脆弱性通知、SBOM提出、影響有無の回答、監査時の証跡提示を、会社として止めずに回すための経営管理の仕組みです。
JAMA/JAPIAの2025年度説明会資料では、サイバー脅威が経営に与える影響を知り、サイバーセキュリティ対策が経営の責務であること、サプライチェーン全体でのレベル向上が重要であることを理解する、と整理されています。つまり、PSIRTの整備は現場の便利ツール導入ではなく、取引継続、品質説明、事業停止リスクに関わる経営課題です。
経営層が最初に考えるべきことは、理想的なPSIRTを一気に作ることではありません。最小予算で、OEM対応と脆弱性対応が止まらない状態を作ることです。
結論:最小PSIRTは「3ロール・6成果物」から始める
経営層が最初に承認すべきPSIRT予算は、大規模な人員計画ではありません。まずは、次の3ロールを明確にすることです。
| ロール | 主な責任 |
|---|---|
| 受付・進行管理 | OEM照会、脆弱性通知、SBOM提出依頼を受け、期限と進捗を管理する |
| 技術判断 | 対象製品、対象バージョン、影響有無、暫定対策、是正要否を判断する |
| 最終承認 | OEMへ何を正式回答するか、どの案件を優先するかを決める |
この3ロールを、最初から専任にする必要はありません。品質保証、設計・ソフト部門、部長または役員が兼務しても構いません。重要なのは、誰が受けるか、誰が判断するか、誰が外に出す回答を承認するかを固定することです。
最初の90日で作る6成果物
| 成果物 | 目的 |
|---|---|
| PSIRT受付窓口 | OEM、上流ベンダー、社内からの連絡を一本化する |
| 案件台帳 | 受付日、対象製品、期限、状態、担当、証跡を一元管理する |
| 対象製品リスト | どの製品・部品・バージョンが対象かを把握する |
| 回答テンプレート | OEM回答の粒度、表現、承認欄をそろえる |
| エスカレーションルール | 重大案件、期限遅延、顧客影響時の上申基準を決める |
| 証跡フォルダ | 回答履歴、承認記録、影響判断根拠を監査時に出せるようにする |
FIRSTのPSIRT Services Frameworkでも、PSIRTは製品の脆弱性リスクの識別、評価、処置に焦点を当てる組織機能であり、製品開発から切り離された独立部隊ではなく、secure engineering の一部として動くものだとされています。PSIRTには単一の正解テンプレートはなく、分散型・集中型・ハイブリッド型など、組織に応じた形を取れます。
つまり、最小PSIRTは「専任部署を作ること」ではありません。兼務でもよいので、受付・判断・承認・証跡を止めない仕組みを持つことです。
なぜ後回しにしてはいけないのか
PSIRTを後回しにする経営判断は、一見すると予算を節約しているように見えます。しかし実際には、別の形でコストを払うことになります。
JAMA/JAPIAの経営層向け資料では、2022年2月に取引先部品メーカーのシステム障害を受け、国内14拠点28ラインの工場停止が公表され、約1万台強の生産に影響した事例が紹介されています。同資料では、サプライチェーン攻撃が完成車の生産停止に至り、サイバー攻撃が事業継続に直接影響すると整理されています。
もちろん、PSIRTを作ればすべてのサイバー攻撃を防げるわけではありません。ただし、PSIRTがない会社では、OEMや上流から問い合わせが来たときに、次のような遅れが起きやすくなります。
| 後回しにした時の症状 | 経営上の影響 |
|---|---|
| 誰が受けるか決まっていない | OEM回答が遅れる |
| 対象製品がすぐ分からない | 設計部門の再調査が増える |
| 影響判断の根拠が残らない | 監査・再照会で説明できない |
| 承認者が案件ごとに変わる | 回答の揺れ、期限遅延が起きる |
| 過去回答が個人メールに残る | 担当者不在時に止まる |
| 緊急時の外部相談先がない | 特急対応・割増対応になりやすい |
経営層が見るべきなのは、「PSIRTを作る費用」だけではありません。PSIRTを作らないことで、品質保証・設計・管理職の時間が毎月どれだけ失われるかです。
最小予算で始める場合、何にお金を使うべきか
最初の予算は、ツールより先に運用の骨格へ使うべきです。具体的には、次の順番です。
| 優先度 | 費目 | 目的 |
|---|---|---|
| 1 | 兼務人件費 | 受付、技術判断、承認の時間を確保する |
| 2 | 窓口整備 | 問い合わせの入口を一本化する |
| 3 | 案件台帳 | 期限、担当、状態、証跡を追えるようにする |
| 4 | テンプレート整備 | OEM回答、影響判断、承認記録の粒度をそろえる |
| 5 | 初回教育 | 品質保証、設計、情シス、営業の関係者に運用を共有する |
| 6 | 月次レビュー | 未回答、期限超過、再発防止、証跡不足を確認する |
| 7 | 外部支援 | 初期設計、監査前レビュー、緊急時の壁打ちを補う |
この中で削ってはいけないのは、兼務人件費、窓口、台帳、承認ルールです。ここを削ると、どれだけ安いツールを入れても運用が止まります。
- 24時間365日の監視体制
- 高度なダッシュボード
- 全OEM別の完全個別テンプレート
- 多言語の外部公開ポータル
- 脆弱性DB、SBOM、VEXとの高度な自動連携
- 専任PSIRTチームの新設
FIRSTは、分散型PSIRTでは小規模なコアPSIRTが製品チーム代表者と連携し、ポリシー、手順、トリアージ、分析、是正、コミュニケーションを担う形を示しています。これは、中小サプライヤーが最初から大きな専任組織を置かず、少人数の中核機能から始められることを示す考え方です。
90日でどこまで作ればよいか
最初の90日で目指すべき状態は、「立派なPSIRT組織図があること」ではありません。OEMから問い合わせが来たときに、誰が受け、誰が調べ、誰が承認し、どの記録を残すかが分かることです。
1〜30日目:入口と責任者を決める
PSIRT受付窓口、主担当、技術窓口、承認者を決めます。対象製品と主要OEMを整理し、案件台帳の項目を決めます。この段階で重要なのは、完璧な台帳ではなく、すべての問い合わせが同じ場所に入ることです。
31〜60日目:回答と証跡の型を作る
OEM向け回答テンプレート、影響判断の記録欄、承認ルート、証跡フォルダを作り、初回の月次レビューを行います。品質保証部門が「前回どう答えたか」を探さなくてもよい状態を作ります。
61〜90日目:運用を回して見直す
受付から回答までのリードタイム、設計部門で止まる箇所、承認待ち案件、証跡不足のパターンを確認し、次に自動化すべき箇所を決めます。
90日が終わった時点で経営層へ報告すべきことは、難しい技術指標ではありません。何件受け付け、何件回答でき、何件が期限内で、どこで詰まり、次にどこへ予算を使うべきかです。
経営層が承認すべきこと
後回しリスクは「事故が起きた時」だけではない
経営層が見落としがちなのは、PSIRTを後回しにしたリスクが、大事故の時だけ出るわけではない点です。OEM回答に毎回時間がかかる、設計部門へ同じ確認を繰り返す、SBOMやCVEの問い合わせに即答できない、監査前に証跡を集め直す、といった形で日常業務に少しずつ現れます。
JAMA/JAPIAの2025年度担当者向け資料では、2024年度に3,134社が自己評価を実施し、2025年度も継続的な自己評価と取引先への展開が求められています。サプライヤー側の対応は、単発の監査対策ではなく、毎年の改善活動として見られるようになっています。
さらに、2024年度の経営層説明会で挙げられた課題として、人材の確保が1,124件、投資の確保が895件と示されています。まず対策の優先順位を絞り込み、業界と自社の評価を比較し、テンプレートやサービスを活用して効率的に進める考え方は、最小予算で段階的に始めるPSIRTと相性が良いです。
稟議ではこう説明すると通りやすい
| 稟議項目 | 書き方 |
|---|---|
| 目的 | OEM照会、脆弱性通知、監査対応を属人化から再現性ある運用に変える |
| 背景 | OEM要求、自己評価、SBOM提出、CVE照会が増えている |
| 90日後の成果 | 窓口、案件台帳、対象製品リスト、回答テンプレ、承認ルート、証跡フォルダ |
| 初期予算の使途 | 兼務時間、初期設計、台帳整備、テンプレ作成、教育、月次レビュー |
| 今回やらないこと | 24/7監視、高度自動化、専任チーム新設、大規模ツール導入 |
| 効果 | 回答遅延の削減、証跡整理の効率化、担当者依存の低減、監査準備の短縮 |
| 次回判断 | 90日運用後に、外部支援、自動化、専任化の要否を判断する |
PSIRTが必要なので予算をください。
OEM照会、SBOM提出、脆弱性通知、監査対応が属人化しています。最初の90日で窓口、台帳、承認、証跡を整備し、回答遅延と再調査を減らします。
PSIRTはコストセンターとしてではなく、取引継続と品質説明を安定させる仕組みとして説明する方が、稟議に乗りやすくなります。
まとめ
経営層がPSIRTを検討するとき、最初から大きな専任組織を作る必要はありません。最小予算で始めるなら、まずは受付・進行管理、技術判断、最終承認の3ロールを固定します。そして、最初の90日でPSIRT受付窓口、案件台帳、対象製品リスト、回答テンプレート、エスカレーションルール、証跡フォルダを作ります。
後回しにすると、OEM回答遅延、監査準備の手戻り、設計部門の再調査、担当者依存、緊急時の割増対応として、見えないコストが積み上がります。PSIRTは「大きく作るか、作らないか」の二択ではありません。小さく始めて、止まらない運用を作ることができます。