実務ガイド

期限(SLA)管理:回答期限がない案件の守り方
(PSIRTの“放置”をなくす運用設計)

PSIRT運用で地味に効いてくるのが、「期限が書かれていない案件」です。

NVDの新規CVE、取引先の“念のため共有”通知、スキャナの検知など、外部の締切(SLA)が無いものは毎週増え続けます。
そして、放置が続くとこうなります。

  • OEM照会(期限あり)が来た瞬間に、過去の未処理が雪崩れる
  • 「継続的に脆弱性を監視・評価しているか?」という監査質問に、証跡で答えられない
  • チームの判断がブレて、同じCVEを何度も調べ直す

結論、期限がない案件こそ “社内SLAを自分で作る” 必要があります。

この記事では、兼務でも回るように 「期限(SLA)の内製」を手順に落とし込みます。

監査・OEM照会の全体像

期限(SLA)を“監査に耐える運用”として整理する前提として、OEM対応の全体フローを補完したい方はこちらをご覧ください。

そもそも「期限がない案件」が危険な理由

期限がない案件は「重要でない」ではありません。危険なのは、次の2点です。

1. 将来“期限あり”に変わる

今日のCVE通知が、明日のOEM照会になります。その際、「何ヶ月前から把握していた?なぜ放置していた?」と聞かれると対応に窮します。

2. 監査で“継続運用”の証跡に使われる

監査で見られるのは「全部対応したか」よりも、受付 → 仕分け → 判断 → 記録(証跡) が回っているかです。放置案件が多いとプロセス不全と見なされます。

つまり、期限がない案件は「SLAが無い」のではなく、「SLAを自分で作らないと運用が崩れる領域」です。

先に結論:期限のない案件は「3つの期限」を社内で固定する

期限なし案件を守る最小セットは、これだけです。

① 一次仕分け期限
Triage SLA

まず“どの箱に入れるか”をいつまでに決めるか

② 次回更新日
Update Date

調査中・保留中でも「次にいつ見るか」を固定する

③ 定期棚卸し
Backlog Review

週次/月次で“古くなった判断”を洗い替える

これで「放置」が「運用」に変わります。

手順:期限なし案件を“燃えない形”で回す(5ステップ)

Step 1

入口を統一し、必ずチケット化する

期限がない案件ほど散らばります。メール・チャット・口頭・スキャナ通知を、必ず 案件ID(チケット) に落とします。
(監査で効く“運用している証拠”になります)

最低限のチケット項目
  • 受付日 / 発信元 / 対象製品候補 / 関連CVE
  • 期限:なし(=期限なしフラグ)
  • 一次仕分け期限(社内):YYYY-MM-DD
  • 次回更新日:YYYY-MM-DD
  • 証跡(参照先URL/文書ID)
Step 2

期限なしを「3クラス」に仕分けし、一次仕分け期限を決める

期限なし案件を全部同じ温度で扱うと破綻します。まずは3クラスで十分です。

Hot
(短期で燃える)

悪用兆候あり/外部IFあり/影響範囲が大きい

→ 一次仕分け期限:1〜3営業日

Warm
(要確認)

情報が揃っていないが、対象になり得る

→ 一次仕分け期限:5営業日

Cold
(監視)

対象外の可能性が高い/影響が限定的

→ 一次仕分け期限:10〜20営業日(次回棚卸しまで)

ポイント:期限なし案件に“先に締切を与える”のがSLA管理です。

Step 3

「次回更新日」を必須化して“保留の放置”をゼロにする

期限なし案件の大半は、一次仕分けの時点で情報不足が残ります。そのとき重要なのは結論ではなく、次回更新日(いつ確度が上がるか) です。

  • 供給元回答待ち → 回答予定日を次回更新日に
  • SBOM未整備 → 版数確認の期限を次回更新日に
  • 仕様確認が必要 → 設計への質問期限を次回更新日に

次回更新日が入っていれば、監査でも「保留=放置ではない」と説明できます。

Step 4

バックログを「棚卸しサイクル」で回す(週次10分でOK)

期限なし案件は増えます。増える前提で、棚卸しを仕組みにします。

週次(10分) Hot/Warmの“期限超過”だけ潰す
月次(30分) Coldも含めて「判断の古さ」を洗い替える
四半期 製品ラインが増えたら評価基準を更新
Step 5

監査用の“見せ方”を作る(=証跡が勝ち筋)

監査で最終的に効くのは、次の3点です。

  • 期限なし案件にも一次仕分け期限が付いている(=運用している)
  • 次回更新日があり、更新履歴が残っている(=放置していない)
  • 棚卸しサイクルの記録がある(=継続性がある)

(支援)OEMに説明できる“回答の型”を用意する

期限なし案件を自社で整理しても、結局は後からOEM照会(期限あり)が来ます。
その時に備えて、「いまの結論+根拠+次回更新日」を短文で出せるテンプレを持っておくと強いです。

回答の型(テンプレ)

一次回答(受領・暫定範囲・次回更新日)の書き方を固定化したい方はこちら。

OEM調査依頼・監査対応の進め方を整理して、いまの体制で回るように整備したい方はご相談ください。

【無料】オンライン相談を予約する

よくある失敗(期限なし案件が“地雷化”するパターン)

  • 「期限なし=後回し」で、一次仕分け期限が存在しない
  • 「調査中」に次回更新日がないので、ただの放置に見える
  • チケット化されず、判断理由が残らない(監査で再現できない)
  • 棚卸しが無く、半年後に“いまさら対応”になって炎上する
  • 結論が「影響なし」の断定だけで、条件・根拠がない

FAQ:SLA管理・バックログ運用について

Q1. 期限がないCVE通知は無視してもいいですか?

無視はおすすめしません。対応まで行かなくても、受付→一次仕分け→記録(根拠)→次回更新日までは残すと、OEM照会・監査で説明できます。

Q2. 社内SLA(一次仕分け期限)はどう決めればいいですか?

まずはHot/Warm/Coldの3クラスで十分です。Hotは1〜3営業日、Warmは5営業日、Coldは次回棚卸し(10〜20営業日)など、運用が止まらない期限を先に置きます。

Q3. 「調査中」が溜まるのを防ぐには?

次回更新日を必須化し、週次の棚卸しで期限超過だけを潰すのが最小構成です。結論を急ぐより、更新日で運用を回す方が崩れません。

Q4. 監査では具体的に何を見られますか?

「期限なし案件も含めて運用が回っているか」です。チケット、一次仕分け期限、次回更新日、棚卸し記録が揃うと説明が通ります。

Q5. OTAや配布スケジュールが絡むとSLAが難しいです

期限なし案件でも、将来の修正版配布(OTA/現地/工場)が絡むと“期限あり化”します。早めに「次回更新日」と「想定配布方式」を置くのが安全です。

次に読む

配布方法(OTA/工場/現地)が絡むとSLAの設計が変わります。OTAについての前提知識はこちら。

タスクの期限管理、システムで自動化しませんか?

Auto PSIRT Cloudなら、期限のないCVE情報も自動でチケット化。設定したSLA(目標時間)や次回更新日が近づくとダッシュボードでアラートを出し、「放置による炎上」をシステムが未然に防ぎます。

OEM回答書作成・タスク管理のデモを見る