実務テンプレ

VEX記述テンプレ
(OEM照会に通る「結論+根拠」の型)

CVE対応でいちばん揉めるのは「結論」ではなく、“結論の書き方(根拠・条件・対象版数)”が毎回バラバラなことです。

結果として、OEM照会や監査でこうなりがちです。

  • 「影響なし」と書いたら、根拠の追加質問が止まらない
  • 「調査中」が長引き、SLA(回答期限)を落とす
  • 同じ判断を何度もやり直す(証跡が残っていない)

そこで使えるのが VEX(Vulnerability Exploitability eXchange) の考え方です。

VEXはざっくり言うと、「このCVEは自社製品に影響する/しない/調査中」を“理由付きで表明する書き方”です。
ここでは、実務でそのまま貼れる VEX記述テンプレ をまとめます。

全体像(実務フロー)を先に押さえる

VEXの運用全体(対象版数の切り方、到達性、SLA、証跡)を通しで設計したい場合はこちらのガイドをご覧ください。

先に結論:VEX記述は「5点セット」で通る

not_affected / affected / under_investigation いずれのステータスでも、OEMが知りたいことは同じです。

VEXは、この5点が入っていれば“逃げない文章”になります。

  1. ステータス: not_affected / affected / under_investigation
  2. 対象範囲: 製品名・製品版数(暫定/確定も明記)
  3. 根拠(理由): 何を確認してそう判断したか(1〜3行)
  4. 条件: 影響なし等が成立する前提(設定無効、外部IFなし等)
  5. 次回更新日(SLA): 調査中や確度が上がるタイミング

【テンプレ】VEX記述(共通ヘッダ)

まずはこの共通部分を、チケット/Excel/回答書の先頭に貼ってください。

共通ヘッダ

【VEX記述】 - CVE:CVE-____ - 対象製品:____ - 対象製品版数:____(暫定/確定) - ステータス:not_affected / affected / under_investigation - 決定理由(1〜3行):____ - 条件(前提があれば):____ - 次回更新日(SLA):YYYY-MM-DD - 証跡:SBOM/構成表/設定/試験結果の参照先(IDや保管場所)

【テンプレ】not_affected(影響なし)の書き方

“影響なし”は断言より 根拠+条件 が重要です。理由をコード化するとブレません。

理由コード例(どれか1つに寄せる)
  • NA-1:非搭載(SBOM/部品表に存在しない)
  • NA-2:影響範囲外(影響対象版ではない)
  • NA-3:成立条件不在(到達性なし・外部IFなし・実行経路なし)
  • NA-4:緩和済み(設定/運用で成立しない)

not_affected(影響なし)

ステータス:not_affected 決定理由:NA-__(例:外部IFなしのため成立条件不在。SBOM行ID:___を確認) 条件:設定___が無効のまま(変更時は再評価) 証跡:SBOM-___/仕様書___/設定値___ 次回更新日:YYYY-MM-DD(必要がなければ「変更時に再評価」でも可)

【テンプレ】affected(影響あり)の書き方

影響ありは「いま(止血)」と「いつ(直る)」を分けると、追加質問が減ります。

affected(影響あり)

ステータス:affected 決定理由:対象製品版数____に当該コンポーネント____ v____が搭載され、成立条件(外部IF____)が存在するため 暫定対策(可能なら):____(前提:____) 恒久対策(予定):修正版 v____ を YYYY-MM-DD 目標(確度:高/中/低) 証跡:構成表___/検証メモ___/修正チケット___ 次回更新日:YYYY-MM-DD(進捗更新日)

【テンプレ】under_investigation(調査中)の書き方

調査中で最悪なのは沈黙です。受領+次回更新日 があるだけで運用が回ります。

under_investigation(調査中)

ステータス:under_investigation 決定理由:対象製品の版数・搭載有無(SBOM/構成)を確認中。追加確認が必要(確認事項:____) 条件:暫定(未確定)。確定次第更新 証跡:受付番号____/依頼原本____ 次回更新日(SLA):YYYY-MM-DD(ここだけは必須)

VEX(not_affected / affected / under_investigation)の書き方を、自社の製品構成・SLA・承認線に合わせて整備したい方はご相談ください。

【無料】オンライン相談を予約する

よくあるNG(VEXが弱くなる書き方)

  • 対象版数が無い(どの版の話か不明)
  • not_affected を断定して根拠が無い(追加質問が増える)
  • under_investigation に次回更新日が無い(放置に見える)
  • 条件(前提)が書かれていない(設定変更で覆る)
  • 証跡が“どこにあるか”分からない(監査で詰む)

FAQ:VEX記述のやり方について

Q1. VEX記述で最低限書くべき項目は何ですか?

最低限は「ステータス」「対象製品・対象版数」「決定理由(根拠)」「次回更新日(調査中の場合)」です。影響なしの場合は条件(前提)も書くと強くなります。

Q2. not_affected を書くときに注意することは?

「影響なし」を断言するほど、根拠が求められます。非搭載/影響範囲外/到達性なし等の理由を1つに寄せ、SBOMや仕様の参照先(証跡)を残してください。

Q3. under_investigation はどこまで書けばいいですか?

結論よりも「何が未確定か(確認事項)」と「次回更新日(SLA)」が重要です。沈黙より、更新日を宣言して運用を回す方が信頼が落ちません。

次に読む

そもそもVEXの定義や目的、他の用語との違いを根本から整理したい方はこちら。

VEX(影響判定)の記述も、AIで自動化しませんか?

Auto PSIRT Cloudなら、AIが自社のSBOM情報とCVEを突き合わせ、「影響あり/なし/調査中」の一次判定と、その根拠文(VEX)を自動生成。そのままOEM回答書に出力できます。

CVE→トリアージ→VEX→OEM回答の流れをデモで見る