実務テンプレ

PSIRT通知フローSOP
(Standard Operating Procedure:標準作業手順書)テンプレ
(受付→トリアージ→公表)

OEMからの照会、脆弱性(CVE)通知、研究者からの連絡――。
PSIRTの仕事は「来たものを正しく受け、期限内に、根拠付きで返す」ことに尽きます。

ところが現場では、受付の入口が散らかる/トリアージが属人化する/“影響なし”の根拠が残らない/回答期限に追われる という形で破綻しがちです。

そこで本記事では、そのまま社内運用に取り込める「PSIRT通知フローSOP(Standard Operating Procedure:標準作業手順書)テンプレ(受付→トリアージ→公表)」 を提示します。兼務体制でも回るように、最小の役割分担・SLA・証跡(エビデンス)まで含めています。

用語の補足

「PSIRTって結局なに?」を短く確認したい方はこちら。

PSIRTとは

全体像の把握

PSIRT全体設計(体制、SBOM、CVE対応等)を先に押さえたい方はこちら。

参考ガイド:『PSIRT完全ガイド』

使い方(最短5分)

  1. 下のSOPテンプレを、社内のConfluence / Notion / Wordなどにコピペする
  2. 【 】 の部分だけ埋める(窓口、役割、SLA、証跡フォルダ)
  3. まずは「受付→一次回答(調査中+次回更新日)」まで運用開始する
  4. 慣れたら「公表(外部通知)」パートを“必要な範囲だけ”有効化する

PSIRT通知フローSOP(Standard Operating Procedure)テンプレ(雛形)

0. 文書情報

  • 文書名:PSIRT通知フローSOP(標準作業手順書)
  • 版数:v【1.0】
  • 作成:【部署/氏名】
  • 承認:【役職/氏名】
  • 適用開始日:【YYYY-MM-DD】
  • 次回見直し:【YYYY-MM-DD】(最低 年1回)

1. 目的・適用範囲

目的:脆弱性/インシデントに関する通知を、期限内に根拠付きで処理し、OEM照会・監査に耐える証跡を残す

対象:当社製品【製品群A/B…】、および当社が供給するソフトウェア/電子部品に関する脆弱性通知

2. 役割(最小の4役)

  • 受付(窓口): 【品質保証 or 情シス】
  • 技術評価(影響判定): 【設計/ソフト】
  • 対外回答(文書化・提出物): 【品質保証】
  • 承認(最終判断): 【課長/部長】

※1〜3人兼務でも可。ただし「承認」だけは必ず別に置く。

3. 受付チャネル(入口の統一)

  • 受付メール: 【psirt@xxx.co.jp】
  • 代替(OEMポータル/調達窓口): 【窓口】
  • 禁止事項: 個人メールに直接届いたまま放置(必ず窓口へ転送し、台帳化する)

4. 処理SLA(社内目標:最小)

  • 受領確認(受付返信): 【1営業日以内】
  • 一次回答(影響あり/なし/調査中+次回更新日): 【3〜5営業日以内】
  • 最終回答(根拠・証跡込み): 【10営業日以内】 ※案件により調整

例外運用:期限が無理な場合は「調査中+次回更新日」を必ず返す

5. フロー(受付→トリアージ→公表)

Step1:受付(Intake)

実施者: 受付(窓口)

やること:

  • 案件を台帳/チケット化(案件ID採番)
  • 期限(受付/一次/最終)と提出形式を記録
  • 対象(製品名/型番/版数/出荷範囲)を“暫定”で仮固定
  • 受領確認を返信

アウトプット: チケット、受領返信ログ

Step2:トリアージ(Triage)

実施者: 技術評価 + 対外回答

判定(3段階):

  • 対応必須: 対象に該当し、外部から成立し得る/OEM照会が厳しい
  • 要確認: 該当可能性あり(到達性・実行経路が未確認)
  • 対応不要: 非該当(搭載なし等)※根拠を一言残す

アウトプット: 一次結論、根拠メモ、次回更新日

Step3:調査・是正(Investigation/Remediation)

実施者: 技術評価

やること:

  • 対象版数の確定(どこまで影響するか)
  • 回避策/緩和策/修正方針を決定
  • 必要に応じてリリース計画に落とす

アウトプット: 最終結論、対策方針、証跡(設定、構成、テスト結果等)

Step4:通知・公表(Notification/Disclosure)

実施者: 対外回答 + 承認

やること:

  • OEMへ提出(結論→根拠→対応方針→証跡)
  • 追加質問の窓口を固定(チケットに集約)
  • (必要な場合のみ)社外向けアドバイザリ文案を作成し、承認のうえ公開

※注意:公表はOEM/取引条件により扱いが変わるため、必ず社内承認と事前合意を取る

アウトプット: 提出版回答書、公表文(必要な場合)、提出履歴

6. 証跡(エビデンス)最低限の保存ルール

保存場所: 【共通フォルダURL】(案件IDごとにフォルダを作成)

推奨フォルダ構成:
00_依頼原本 / 01_範囲 / 02_調査 / 03_回答書 / 04_提出履歴 / 05_是正

※回答書には、添付できない場合でも「証跡ID/保存場所/対象版数」を書ける形にする

コピペで使える:一次回答(受領+調査中)テンプレ

件名:【案件名】受領のご連絡(一次回答予定) 本文: ご依頼を受領しました。 現時点は調査中です(一次回答)。 対象範囲(暫定):【製品名/版数】 次回更新:【YYYY-MM-DD】までに影響有無(影響あり/なし/継続調査)を更新回答します。 追加確認:【提出形式・対象範囲など最小限】

よくあるNG例(監査で刺さるポイント)

  • 受付が個人メールで、案件IDも履歴も残らない
  • 「影響なし」とだけ返して、根拠・証跡がない
  • 期限を“最終期限”だと思い込み、一次回答が遅れる
  • 対象版数が揺れ続け、手戻りが止まらない
  • 公表の判断が曖昧で、社外発信が事故る(承認なしで出す等)

このままのテンプレを自社向けに整備し、少ない人数で回る状態にしたい方はご相談ください。

【無料】オンライン相談を予約する

FAQ:運用テンプレに関するよくある質問

Q1. SOP(Standard Operating Procedure)と手順書の違いは何ですか?

SOPは「誰が何をいつまでにやるか」を固定して再現性を出すための運用手順(標準作業手順書)です。手順書より“役割・期限・証跡”が中心になります。

Q2. 兼務でもこのPSIRT通知フローは回せますか?

回せます。最小は「受付・技術評価・対外回答・承認」の4役で、1〜3人で兼務しても成立します。承認だけは必ず別に置くのがコツです。

Q3. “調査中”で返すのは失礼ではありませんか?

失礼ではありません。むしろ期限内に「調査中+次回更新日」を返す方が信頼を落としにくいです。放置が一番危険です。

Q4. 公表(外部公開)は必ず必要ですか?

必ずではありません。OEMや契約条件により扱いが変わるため、必要な場合のみ“承認と事前合意”を前提に実施します。

SOPをシステムに組み込んで自動化しませんか?

Auto PSIRT Cloudなら、このSOPで定義した「チケット化」「一次回答の自動生成」「証跡の紐付け」「SLA管理」をすべてシステム上で迷わず実行できます。

フロー自動化のデモを見る