PSIRT予算を最小で通すには
最初の90日で必要な費目と削ってはいけない項目
自動車OEM向けのPSIRT予算は、「理想形を全部入れた見積もり」ほど通りにくくなります。
JAMA/JAPIAの2025年度説明会資料では、経営層向け設問で多かった課題が人材の確保と投資の確保で、同資料はサイバーセキュリティ対策を経営課題と位置づけています。あわせてJAMA/JAPIAは毎年度、チェックシートをもとにセルフチェックと評価結果の提出を案内しており、サプライヤー側には継続運用としての説明責任が求められています。
さらに2026年公開の中小企業向け手引きは、153項目を一気に実装するのではなく、優先8項目・達成条件19件に絞って、最小限の工数で最大のレベルアップを目指す考え方を示しています。同手引きのStep0でも、経営層への理解活動、守る情報資産とリスクの整理、レベルアップ計画、推進体制整備、予算確保を最初に置いています。
FIRSTのPSIRT Services Frameworkも、PSIRTには単一の正解テンプレートがなく、分散モデル・集中モデル・ハイブリッドモデルがあり、分散モデルでは小規模なコアPSIRTが製品開発側と協働して回す形もありうると整理しています。
つまり、中小サプライヤーの最初の稟議は「完成形の大組織」ではなく、「再現性のある最小運用」を通す設計にした方が合理的です。
結論から言うと、最初の90日で予算化すべきなのは、専任チームの新設ではありません。
「責任者」「受付窓口」「案件トラッキング」「基本手順」「初回教育」「監査用の証跡束」の6点です。
なぜPSIRT予算は通りにくいのか
稟議が落ちる理由は、金額そのものより「90日後に何が出来上がるのか」が曖昧だからです。
JAMAの手引きは、経営層の理解を得るには抽象論ではなく、取引継続、復旧コスト、事業機会の喪失などの具体的影響を示すべきだとしています。FIRSTも、PSIRTの設立理由、役割と責任、提供するサービス、組織モデル、支援を得る相手を文書化する必要があるとしています。
つまり、「セキュリティを強化するための予算」では弱く、「OEM照会に再現性を持って答えるための初期費用」「監査で説明できる状態を90日で作る費用」と置き換えた方が通りやすいです。
最初の90日で必要な費目
以下は、JAMAのStep0〜3とFIRSTのPSIRT基盤要素を、OEM対応を前提に90日に圧縮した実務用のたたき台です。金額の絶対額ではなく、何に予算を使うかを明確にするための整理です。
| 費目 | 90日でやること | 予算配分の目安 | 削れるか |
|---|---|---|---|
| 兼務人件費 | 主担当、技術判断担当、承認者の時間確保 | 40〜50% | × |
| 窓口整備 | 受付メール/フォーム、受付ルール、案件ID発番 | 10〜15% | × |
| トラッキング/台帳 | 対象製品、OEM、期限、状態、証跡リンクの一元管理 | 15〜20% | × |
| 基本文書・テンプレ | 回答テンプレ、エスカレーション、役割分担、簡易憲章 | 10〜15% | × |
| 初回教育 | 関係者向け説明、回答ルール、運用訓練 | 5〜10% | × |
| 監査・自己評価準備 | チェックシートとの対応付け、証跡束、月次レビュー | 10〜15% | × |
| 外部支援 | 設計レビュー、初回監査前レビュー、壁打ち | 5〜15% | △ |
| 高度な自動化 | ダッシュボード、外部DB連携、深い自動化 | 0〜10% | ○ |
この配分で重要なのは、ツールより先に運用の骨格にお金を置くことです。
FIRSTの予算項目には人件費、ITシステムや機器、ソフトウェアライセンス、トレーニングが含まれ、必要ツールとして脆弱性報告の受付方法、セキュアなコミュニケーション、脆弱性データベース/トラッキングシステムが挙げられています。JAMAの手引きも、推進体制、予算確保、情報資産の整理、緊急連絡体制、初動フロー図などを段階的に整える構成です。
だから、最初の90日は「高機能な仕組み」より「止まらない最低限」を優先すべきです。
削ってはいけない項目
1. 責任者と承認者
最小でも、主担当、技術判断、最終承認の3ロールは固定すべきです。FIRSTは、経営層支援、役割と責任の文書化、組織モデルの明確化をPSIRT基盤に置いています。ここを削ると、ツールがあっても最後の判断が出ません。
2. 受付窓口
PSIRTは「問い合わせが来たときに誰が受けるか」から始まります。FIRSTは脆弱性報告の受付方法を必要ツールの一つに含めています。窓口がない状態では、OEM対応も社内エスカレーションも再現できません。
3. 案件トラッキング
メール箱だけでは運用になりません。案件ID、対象製品、期限、回答状況、証跡の所在を追える仕組みは削れません。FIRSTはトラッキングシステムと評価指標を重視しており、JAMAの手引きも「後で見返せる形」を段階的に作ることを前提にしています。
4. 基本文書とテンプレ
回答テンプレ、役割分担、承認ルート、エスカレーション条件は最初に作るべきです。FIRSTはポリシーと手順の文書化により、一貫性と再現性を保ち、新しい担当者の教育にも使えるとしています。
5. 初回教育と月次レビュー
初回教育がないと、運用は担当者個人のやり方に戻ります。JAMAの手引きは有事の対応体制とPDCAの確立を狙っており、FIRSTも評価と改善を基盤要素に含めています。月次レビューは贅沢ではなく、90日後に「継続できる状態」を作るための最低コストです。
90日では後回しにできる項目
逆に、最初の90日では後回しにしてよいものもあります。
- 24時間365日の常時監視
- 多言語の外部公開ポータル
- 高度なダッシュボードとKPI自動集計
- 全OEMごとの完全個別テンプレ最適化
- 脆弱性DBやSBOM基盤との深い自動連携
FIRSTが示す通り、PSIRTには単一の正解テンプレートはなく、組織モデルも分散・集中・ハイブリッドで分かれます。立ち上げ初期は、小規模コアで始めて必要に応じて拡張する方が自然です。JAMAの手引きも、優先項目に絞って最小工数で最大効果を狙う考え方です。
稟議で通しやすい見せ方
経営層に出す資料は、費目一覧より先に「90日後の成果物」を見せた方が通りやすいです。
JAMAの手引きは経営層に対して具体的なリスクと影響額を示すことを勧め、2025年度の説明会でも優先順位の絞り込みやIPA等のテンプレート活用を案内しています。
稟議の構成は、次の形が通しやすいです。
- 目的
- OEM照会・監査対応を、属人化ではなく再現性ある運用に変える
- 90日後の成果物
- 受付窓口、案件台帳、回答テンプレ、承認フロー、証跡束、月次レビュー
- 今回やらないこと
- 24/7監視、高度自動化、全社横断ダッシュボード
- 判断材料
- 問い合わせ初動の時間短縮、監査準備の手戻り削減、担当者不在時の継続性
この構成なら、「大きなPSIRT予算」ではなく「最初の運用土台への低コスト投資」として説明できます。
90日ロードマップ
最初の3ヶ月で具体的にどう動くか、ステップで整理します。
1〜30日目:役割と窓口の定義
責任者と承認者を決め、受付窓口を開き、対象製品とOEM対応範囲を整理します。回答テンプレとエスカレーション条件を決め、案件台帳の項目を固定します。
31〜60日目:台帳運用と証跡の集約
案件台帳の運用を始め、最初の月次レビューを実施します。JAMAチェックシートやOEM調査票と、社内証跡の対応関係を整理し、監査で出すべき文書の置き場を一つに寄せます。
61〜90日目:教育と90日レビュー
初回教育を完了し、初動フローを見直します。回答履歴、承認記録、証跡束をまとめ、90日レビューとして「何ができるようになり、次に何を自動化すべきか」を経営層へ報告します。
まとめ
PSIRT予算を最小で通すコツは、最初から完成形を求めないことです。
通すべきなのは「人、窓口、台帳、手順、教育、証跡」です。後で足せるのは、24/7監視や高度自動化です。
JAMA/JAPIAの資料も、まずは優先順位を絞り、低コストから始め、具体的なリスクと影響額を示して承認を得る考え方を取っています。FIRSTのPSIRT Frameworkも、経営層支援、役割定義、予算、受付、トラッキング、手順、改善を基盤要素として挙げています。
だから、最初の90日の稟議で目指すべきは「立派な組織図」ではなく、OEM対応と監査対応が止まらない最小運用です。
PSIRT予算化・立ち上げの「90日計画」をご相談しませんか?
自社の担当人数、OEM数、現在の照会件数を前提に、「90日で何を整え、どこにだけ予算を使うべきか」を整理します。稟議を通しやすい最小運用の形と、それを支えるツールの活用方法を相談ベースで切り分けます。