実務ガイド

兼務で回るPSIRT最小体制
(1〜3人兼務・役割分担)

「PSIRT体制を作れ」「脆弱性の影響有無を報告しろ」——OEMからの要求が強まる一方、Tier2〜Tier4の現場では専任のセキュリティ担当を置けないのが普通です。

結論から言うと、PSIRTは“人を増やす”より先に、役割と手順を固定すれば、1〜3人の兼務でも回ります。

この記事では、兼務前提で破綻しない「最小体制」と「回し方」を具体化します。

全体像を先に知りたい方へ

最小PSIRTは「4役」で考える(人数ではない)

PSIRTを“チーム”として考えると重くなります。まずは役割(ロール)に分解します。最小構成はこの4役です。

  • 受付(窓口): OEM照会・脆弱性報告を受け、期限と対象を管理する
  • 技術評価: 影響有無(どの製品・どの版数・到達性)を判断する
  • 対外回答: 回答書を「結論→根拠→対応方針」で整形する
  • 承認: 社外に出す最終判断を承認する(品質/管理職)

重要なのは「4人必要」ではなく、1人が複数役を兼ねてもよいが、役割の切り替えは曖昧にしないことです。

(例:受付の人が“自分で影響あり/なしを決めてしまう”と、後で説明が崩れます。技術評価は一言でもよいので、必ず技術根拠を残します)

1人・2人・3人の役割分担(推奨パターン)

人数 受付 技術評価 対外回答 / 証跡 承認
1人 兼務 兼務(一次) 兼務 上長(最終だけ)
2人 人A 人B 人A 上長
3人 人A 人B 人C 上長 or 人C

ポイント:人数が増えるほど「対外回答+証跡」を独立させると、監査で強くなります。

まず最初に決める3つ(これがないと必ず止まる)

1) 窓口を1つにする(入口の統一)

  • 専用メール(例:psirt@)かフォームを1本化
  • 個人メール転送は禁止(引継ぎ不能になる)

2) 期限の“社内SLA”を置く(厳密でなくてOK)

兼務でも置ける最小SLA例:

  • 受領確認: 1営業日以内
  • 一次回答: 影響あり/なし/調査中を3〜5営業日以内
  • 最終回答: 証跡込みで10営業日以内(案件で調整)

3) 「調査中」を許可する(一次回答の文化)

期限内に100%確定できない案件は普通にあります。そのときは「調査中+次回更新日」を返す型を作るだけで、炎上が減ります。

1人兼務で回す(最小モデル)

1人の場合、現実には「受付=対外回答=技術評価(一次)」になります。破綻させないコツは、“決めることを減らす”ことです。

やること(週次ルーチン)

  • 週1回、脆弱性/照会を一覧で確認(30分)
  • 影響判定を「対応必須/要確認/対応不要」の3段階で仮置き(30分)
  • 要確認だけを設計担当に聞く(テンプレで質問)(随時)
  • 回答は「調査中+次回更新日」を先に返す(一次回答)

1人モデルの必須ルール

  • チケット化(案件ID・期限・対象版数・結論・根拠)
  • 承認者を必ず1人立てる(最後だけ上長に通す)
  • 証跡の保存先を固定(フォルダ構成だけ先に作る)

すぐ使える:一次回答テンプレ

件名:[案件名]受領のご連絡(一次回答予定) 本文:受領しました。現時点は調査中です。対象範囲は[製品名/版数(暫定)]。[日付]までに影響有無を更新回答します。

2人兼務で回す(実務で一番多い)

2人になったら、役割を分けて“ボトルネック”を消します。

  • 人A: 受付+対外回答(品質/情シス兼務)
  • 人B: 技術評価(設計/ソフト)

2人モデルの運用ポイント

  • 週1の“15分定例”を固定(期限と要確認だけ確認)
  • 技術評価は「影響あり/なし」と「根拠の一言」だけ返す(長文禁止)
  • 回答書はAがテンプレに流し込む(形式の標準化)
  • Aは証跡を“集める”のではなく“置き場所を決める”(保管先URLを回答書に書けるように)

3人兼務で回す(監査・是正まで安定)

3人確保できるなら、対外回答を品質に寄せると監査で強くなります。

  • 人A: 受付(期限・範囲・提出形式)
  • 人B: 技術評価(影響有無・対策方針)
  • 人C: 対外回答+証跡(回答書・添付・保存先管理)
  • 承認: 部長/課長(AまたはCに承認権限)

3人モデルの強み

  • 技術評価(B)が“判断だけ”に集中できる
  • 証跡(C)が散らばらず、監査に耐える
  • 追加質問が来ても、回答書と証跡が同じ場所にあるため再炎上しにくい

兼務でも事故らない「5つの成果物」(最小セット)

人数より、最初に“型”を作る方が効きます。最低限、次の5つを用意してください。

  1. PSIRT窓口(メール/フォーム、受付テンプレ)
  2. 対象製品と版数の一覧(どこまでが対象か即答できる)
  3. 影響判定テンプレ(結論・根拠・次回更新日)
  4. 回答書テンプレ(OEM向け:結論→根拠→対応方針→証跡)
  5. 証跡フォルダ構成(依頼原本/調査/回答書/提出履歴)

立ち上げ初週のチェックリスト(まずはここまで)

  • 窓口メール/フォームを作る
  • 上長の承認ルート(A)を決める
  • 受領確認・一次回答のSLAを決める
  • チケット(案件台帳)の必須項目を決める
  • 証跡フォルダの雛形を作る
  • 一次回答テンプレを共有する

自社に必要なPSIRT立ち上げ・運用設計を整理したい方はご相談ください。

無料オンライン相談

よくある失敗(兼務PSIRTが止まる原因)

  • 受付が個人メールで、引継ぎ不能になる
  • 対象版数が毎回揺れて手戻りする
  • 「影響なし」を根拠なしで返し、追加質問で炎上する
  • 調査中を出せず、期限を超える
  • 証跡が散らばり、監査で再現できない

FAQ:兼務PSIRTのやり方

Q1. PSIRTは専任がいないと回りませんか?

回ります。まずは「4役」を決め、1〜3人で兼務しても役割が混ざらないようにすれば成立します。

Q2. 1人でも“影響なし”を言い切っていいですか?

言い切る前に、根拠(対象外、実行経路にない、到達不能など)を一言で残してください。根拠が残らない“影響なし”は後で必ず崩れます。

Q3. OEMからの期限が短すぎる場合は?

一次回答として「調査中+次回更新日」を先に返すのが現実解です。黙るより、状態と更新予定を示す方が信頼を落としにくいです。

次に読む
テンプレ・SOP

専任担当がいなくても、PSIRTは回せます

Auto PSIRT Cloudなら、ウィザードに答えるだけで専門知識がなくても的確な影響判定と回答書作成が可能です。

兼務体制でも回るPSIRT運用のイメージを、実際の画面デモで確認してみませんか?

Auto PSIRT Cloudのデモを見る