実務ガイド

PSIRTのKPIとSLA
(OEM回答期限を守る管理術:最小設計)

PSIRT運用が崩れる最大の理由は、専門知識が足りないことではありません。
「いつまでに何を返すか」が曖昧なまま案件が流れ、結果として期限を守れないことです。

OEMや顧客からの調査依頼は、内容そのものよりも 回答期限を守れるか を強く見られます。

しかもTier2〜Tier4の現場では、PSIRT専任ではなく兼務で回すことが多く、次のような事故が起きがちです。

  • 受領確認が遅く、相手が不安になって督促が来る
  • 一次回答と最終回答の違いが曖昧で、全部が“最終回答待ち”になる
  • 調査中案件に次回更新日がなく、放置に見える
  • 期限を超えた理由が残らず、監査で説明できない

この状態を防ぐには、まず SLA(期限の設計) を置き、その達成度を KPI(測定項目) で見える化するのが最短です。
この記事では、兼務でも破綻しないように、最小のKPIとSLA に絞って設計方法を解説します。

全体像を先に見直す

SLA・KPIを設定する前提となる、PSIRTの全体設計(窓口・証跡・回答フロー等)はこちらをご覧ください。

先に結論:兼務PSIRTに必要なSLAは3つ、KPIは5つで十分

最初から細かい指標を増やすと、運用より入力が重くなります。
まずは次の SLA 3つKPI 5つ だけで十分です。

最小SLA

  • 受領確認SLA: 依頼を受け取ったことを返す期限
  • 一次回答SLA: 影響あり/なし/調査中の暫定結論を返す期限
  • 最終回答SLA: 根拠・証跡込みで最終回答を返す期限

最小KPI

  • 受領確認SLA遵守率
  • 一次回答SLA遵守率
  • 最終回答SLA遵守率
  • 調査中案件の次回更新日遵守率
  • 期限超過案件数(理由分類つき)

この5つが見えれば、現場の詰まりどころがかなり分かります。

KPIとSLAの違い

ここを混同すると設計が崩れます。

  • SLA: 守るべき期限や応答ルール (=約束)
  • KPI: そのSLAや運用が守れているかを見るための数字 (=観測)

例:「受領確認は1営業日以内に返す」は SLA です。
例:「受領確認を1営業日以内に返せた割合が92%」は KPI です。

SLAだけあっても測らなければ改善できず、KPIだけあっても基準がなければ意味がありません。

最小SLAの作り方(兼務で回る現実解)

SLAは“理想値”ではなく、いまの体制で守れる現実的な水準に置くのがコツです。

1. 受領確認SLA

おすすめの初期値は 1営業日以内
ここで返す内容は、結論ではなく「受け付けたこと」と「次回更新日」で十分です。

2. 一次回答SLA

おすすめの初期値は 3〜5営業日以内
ここで必要なのは「影響あり」「影響なし」「調査中」のどれかと、次回更新日です。

3. 最終回答SLA

おすすめの初期値は 10営業日前後
ただし案件の重さによって変わるので、固定値よりも「軽微案件」「通常案件」「重大案件」のように分けてもよいです。

重要なのは、一次回答と最終回答を分けることです。
これを分けないと、全部が“最終回答待ち”になってしまい、期限を落とします。

KPIは「改善に使える数字」だけにする

KPIはたくさん作れますが、兼務体制では使い切れません。おすすめは次の5つだけです。

  • 1
    受領確認SLA遵守率 依頼受付の初動を見ます。ここが低いと、窓口や案件化に問題があります。
  • 2
    一次回答SLA遵守率 現場の処理能力を見ます。低い場合は、版数確認や担当割り当てで止まっていることが多いです。
  • 3
    最終回答SLA遵守率 調査・証跡・承認の遅延を見ます。ここだけを責めると現場が疲弊するので、理由分類とセットで見るのが大切です。
  • 4
    次回更新日遵守率 調査中案件の放置防止に効きます。これが低いと、相手から見ると“放置されている”ように見えます。
  • 5
    期限超過案件数(理由分類つき) 単なる件数ではなく、理由を分類します。
    例:上流回答待ち / 対象版数未確定 / 承認待ち / 証跡不足 / 工数不足
    この分類があると、改善策が作れます。

手順:PSIRTのKPI/SLAを作る(5ステップ)

Step 1

案件の種類を3つに分ける

まず、同じSLAを全案件に当てないことです。最低でも次の3つに分けます。

  • OEM/顧客照会: 期限が厳しい(最優先)
  • 一般CVE通知: 外部期限なし(社内でSLAを作る)
  • 監査/是正要求: 提出物が多い(SLAは別途長めに設定)
Step 2

各案件のSLAを定義する

案件種類ごとに、「受領確認」「一次回答」「最終回答」の目安を置きます。

Step 3

案件台帳に“必須列”を足す

KPIを取るには、台帳やチケットに最低限この列が必要です。

  • 受付日
  • 相手期限
  • 受領確認日
  • 一次回答日
  • 最終回答日
  • 次回更新日
  • 現在ステータス
  • 期限超過理由
  • 証跡リンク/ID
すぐ使えるテンプレ

SLA・期限管理を回すための台帳(チケット)の項目定義とテンプレはこちらをご利用ください。

Step 4

週次でKPIを1回見る

毎日見る必要はありません。週1回、15分で良いので次だけ確認します。

  • 今週期限を迎える案件
  • 調査中で更新日が近い案件
  • 期限超過した案件と理由
  • SLA遵守率のざっくり傾向
Step 5

KPIに基づいてルールを直す

KPIは評価のためではなく、改善のために使います。

  • 受領確認が遅い → 窓口を一本化する
  • 一次回答が遅い → 技術評価の依頼テンプレを整える
  • 最終回答が遅い → 承認ルールと証跡整理を見直す
  • 更新日が守れない → “調査中”ルールを短くしすぎている

そのまま使える:KPI/SLA定義テンプレ

以下をそのまま社内ルールや運用ガイドラインへ貼ってご活用ください。

【SLA定義】 - 受領確認:1営業日以内 - 一次回答:5営業日以内 - 最終回答:10営業日以内 - 調査中案件は、次回更新日を必ず設定する 【KPI定義】 - 受領確認SLA遵守率 = 期限内受領確認件数 / 全受領件数 - 一次回答SLA遵守率 = 期限内一次回答件数 / 全一次回答対象件数 - 最終回答SLA遵守率 = 期限内最終回答件数 / 全最終回答対象件数 - 次回更新日遵守率 = 期限内更新実施件数 / 全調査中案件件数 - 期限超過案件数 = 期限超過した案件数(理由分類を添える)

OEM調査依頼・監査対応の進め方を、自社の体制・SLAに合わせて整理したい方はご相談ください。

【無料】オンライン相談を予約する

よくある失敗(運用が回らない典型)

  • SLAはあるが、台帳に日付列が無い
    → KPIが取れず、改善できない
  • 一次回答と最終回答を分けていない
    → 全部が遅く見える(常にSLA違反になる)
  • 期限超過理由を残していない
    → 毎回同じ原因(上流待ち、承認待ち等)で詰まる
  • KPIを増やしすぎる
    → 入力だけが増えて運用が止まる

FAQ:SLAとKPIの運用について

Q1. KPIとSLAは両方必要ですか?

はい。SLAは「何日で返すか」の基準、KPIは「それを守れているか」を見るための数字です。どちらか片方だけでは改善が回りません。

Q2. 兼務でも測れるKPIは何ですか?

まずは、受領確認SLA遵守率、一次回答SLA遵守率、最終回答SLA遵守率、次回更新日遵守率、期限超過件数(理由分類)の5つで十分です。

Q3. 一次回答SLAを守れない時はどうしますか?

「調査中+次回更新日」を期限内に返す設計にします。最終結論を待って沈黙するより、運用として評価されます。

次に読む

そもそもPSIRTの役割や、OEMが求める「運用の安心感」について基本を確認したい方はこちら。

SLAと進捗管理、システムで自動化しませんか?

Auto PSIRT Cloudなら、案件のSLA(回答期限)や次回更新日がダッシュボード上で一元管理・可視化されます。期限が近づくとアラートが出るため、入力や集計の手間なく「期限超過」を防ぐことができます。

OEM回答書作成・SLA管理の流れをデモで見る