実務テンプレ

脆弱性受付フォームテンプレ
(メール/フォーム入口統一)

PSIRT運用で一番の事故は「気づいたら期限を過ぎていた」です。

原因はだいたい同じで、入口がバラバラ(個人メール/営業経由/OEMポータル/フォーム混在)、そして必要情報が揃わないまま調査が始まることです。

そこで本記事では、兼務でも回るように 「脆弱性受付の入口を統一するテンプレ」 を提示します。
フォームに必要項目を揃えるだけで、受付漏れ/手戻り/SLA逸脱が激減します。

全体像の把握

PSIRTの体制や運用設計の全体像を先に押さえたい方はこちら。

参考ガイド:『PSIRT完全ガイド』

用語の補足

「PSIRTって結局なに?」という定義を確認したい方はこちら。

PSIRTとは

このテンプレで防ぐこと(先に結論)

  • 誰が窓口か分からない(入口が統一されていない)
  • 対象製品・版数が不明で、影響調査が始められない
  • 再現条件がなく、調査が長期化する
  • 「影響なし」の根拠(証跡)が残らず、OEM監査で崩れる

脆弱性受付フォーム(Webフォーム用)テンプレ

使い方: 下記をそのままフォーム項目として実装し、必須/任意を設定してください。

兼務体制では「必須を増やしすぎる」と入力されなくなるため、必須は“初動に必要な最小限”に絞ります。

A. 連絡先

  • 会社名 必須
  • 部署名 任意
  • 氏名 必須
  • メールアドレス 必須
  • 電話番号 任意
  • 連絡希望 任意 : メール/電話(緊急時のみ)など

B. 受付種別

  • 種別 必須 : OEMからの照会・監査 / ベンダー通知(CVE等) / 研究者・外部からの報告 / 社内検知(テスト/解析) / その他
  • 要求期限 任意 : YYYY-MM-DD (OEM照会の場合は重要)

C. 対象製品・版数 ※初動で最重要

  • 対象製品名 必須
  • 型番 / プロジェクト名 任意
  • ソフトウェア版数 必須 (例:v2.3.1)
  • ハード版数 任意
  • 出荷 / 適用範囲 任意 : いつからいつまで、どの顧客向け等
  • 関連コンポーネント 任意 : OSS名/ライブラリ名/モジュール名
  • CVE番号 任意 : CVE-YYYY-XXXX (分かる場合のみ)

D. 脆弱性内容 ※必須は少なく、“判断できる”粒度で

  • 概要 必須 : 何が起きるか (1〜3行でOK)
  • 影響 任意 : 情報漏えい/改ざん/停止/権限昇格 等
  • 成立条件 任意 : 必要な接続、操作、権限など
  • 再現手順 任意 : 箇条書きでOK (※秘匿が必要な場合は「別途共有」でも可)
  • 環境情報 任意 : OS、ミドル、設定、通信条件 等
  • 既知の回避策 任意

E. 取り扱い ※監査・対外対応で効く

  • 秘密保持の要望 任意 : あり/なし
  • 公開予定 任意 : 公開予定日・期限 (研究者報告の場合など)
  • 添付可否 任意 : 機密のため添付不可/添付可 など

F. 添付資料

  • 添付 任意 : スクリーンショット、ログ、診断結果、参考資料
    (添付できない場合は「保管場所URL」や「別送可」を記載できる欄があると便利)

G. 同意

  • プライバシーポリシー同意 必須
  • 受付後の連絡(一次回答)に同意 任意

メール受付(共有メール)テンプレ(コピペ用)

フォームが用意できない場合は、以下のフォーマットをそのまま受付用メール(psirt@〜 など)で利用してください。

件名:脆弱性報告/照会(対象製品:【 】/版数:【 】) 【会社名】 【氏名】 【メール】 【種別】OEM照会/ベンダー通知/外部報告/社内検知 【期限】(あれば)YYYY-MM-DD 【対象製品名】 【ソフト版数】 【ハード版数】(任意) 【CVE番号】(任意) 【概要】(1〜3行で何が起きるか) 【影響】(任意:情報漏えい/停止など) 【成立条件】(任意:必要な接続や操作など) 【再現手順】(任意) 【添付】あり/なし(難しい場合は別送または保管場所URLを記載) 【取り扱い】秘密保持の要望あり/なし / 公開期限(任意)

受付後にPSIRT側がやる「最小の初動」(SOPミニ版)

フォームを整えても、PSIRT側の初動が曖昧だと意味がありません。最小はこれだけでOKです。

  1. 案件IDを採番(チケット化)
  2. 期限を分解(受付/一次回答/最終)
  3. 対象範囲を仮固定(製品名・版数)
  4. 証跡フォルダ作成(依頼原本/調査/回答書/提出履歴)
  5. 一次回答を返す(調査中+次回更新日をセット)

よくあるNG(フォームで潰せる)

  • 製品名はあるが版数がない
    (調査不能になる)
  • 自由記述だけで、必要情報が毎回抜ける
    (手戻りが多発する)
  • 入口が複数で、受付漏れが起きる
    (SLAを逸脱する)
  • 証跡の置き場所がなく、監査で再現できない
    (属人化する)

この受付フォームテンプレを自社の運用(窓口・SLA・証跡・一次回答)に落とし込みたい方はご相談ください。

【無料】オンライン相談を予約する

FAQ:脆弱性受付フォームについて

Q1. 脆弱性受付フォームは、何を必須にすべきですか?

最小は「連絡先」「種別」「対象製品名」「ソフト版数」「概要」です。必須を増やしすぎると入力されないため、再現手順などは任意から始めるのが現実的です。

Q2. OEM照会でもこのフォームを使っていいですか?

使えます。特に「期限」「対象製品・版数」「提出形式(Excel/ポータル)」を取り込めるようにしておくと、SLA管理が安定します。

Q3. 証跡(エビデンス)はフォームで取るべきですか?

添付まで必須にしなくてOKです。代わりに「添付可否」「別送」「保管場所」を記載できる欄を用意すると、監査対応で強くなります。

入口から回答まで、一気通貫で管理しませんか?

Auto PSIRT Cloudなら、このフォームと同等の受付機能はもちろん、受け取った後のCVEトリアージからOEM回答書の出力までを自動化できます。

業務フロー自動化のデモを見る