実務テンプレ

脆弱性対応業務(ひな形)
アサイン表&進捗管理テンプレ
(CVE/トリアージ/VEXを期限内に回す)

脆弱性対応(CVE対応)が回らない原因の多くは、技術ではなく 「誰がやるか」「いつまでか」「何を残すか」が曖昧なこと にあります。

結果として、兼務体制ほどこうなります。

  • 受付はしたが、担当が決まらず止まる
  • トリアージ(一次仕分け)がブレて、優先度が迷子になる
  • OEM照会の期限(SLA)だけが迫り、一次回答が遅れる
  • 「影響なし」の根拠・証跡が残らず、追加質問が止まらない

そこでこの記事では、そのまま使える「アサイン表」「進捗管理台帳」のテンプレを公開します。

最初は“完璧なプロセス”ではなく、期限と証跡が残る最小運用から始めるのが勝ち筋です。

トリアージ基準とVEXの復習

テンプレを実務で回す前に、トリアージ基準やVEX(影響あり/なし/調査中)の判断ロジックを先に押さえたい方はこちら。

このテンプレで管理する範囲(最小の“脆弱性対応業務”)

本テンプレは、次の業務を「抜け漏れなく」「期限内に」回すためのものです。

受付 メール/通知/照会を1つの案件IDに統合
トリアージ 優先度・次回更新日を決める
影響評価 対象版数、到達性、前提条件
VEX記述 affected / not_affected / under_investigation
対外回答 一次回答→最終回答、期限=SLA管理
証跡管理 根拠・提出履歴を参照できる

まず決める:最小の役割(兼務前提でOK)

脆弱性対応は、最低でも「4役」だけ固定すると回り始めます。

  • 受付/窓口(PSIRT役): 案件ID、期限、一次回答の送付
  • 技術評価(設計/開発): 対象版数、成立条件、対策方針
  • 品質/承認(QA/上長): 対外文面・提出物の承認
  • 実装/リリース(開発/生産): 恒久対策、配布、完了報告

【テンプレ①】アサイン表(RACI)テンプレ(TSV)

ここから下をコピーして、ExcelのA1セルに貼り付けてください(タブ区切りで自動展開されます)。

raci_assignment.tsv
役割 責務(やること) R(実行担当) A(最終責任) C(相談先) I(共有先) バックアップ(不在時) 備考 受付/窓口(PSIRT役) 案件化(ID付与)/期限(SLA)設定/一次回答送付 担当者名 上長名 設計/開発 品質/関係部署 代替担当者 「次回更新日」を必ず入れる 技術評価(設計/開発) 対象版数確定/到達性・前提条件確認/VEX案作成 担当者名 開発リーダー PSIRT役 品質/関係部署 代替担当者 SBOM/構成表の参照先を残す 品質/承認(QA/上長) 対外回答文・提出物の承認/リスク判断 承認者名 品質責任者 PSIRT役 関係部署 代替承認者 承認がない外部送付は禁止 実装/リリース 暫定対策/恒久対策の実施/修正版リリース/完了報告 担当者名 開発/生産責任者 設計/開発 PSIRT役/品質 代替担当者 配布方式(OTA/工場/現地)を明記

【テンプレ②】進捗管理台帳(案件トラッカー)テンプレ(TSV)

ここから下をコピーして、ExcelのA1セルに貼り付けてください。
列は増やすより、まず“更新できる”ことを優先してください。

progress_tracker.tsv
案件ID 受付日 通知元(OEM/取引先/NVD/スキャナ) 相手期限(SLA) 一次回答期限(社内) 次回更新日 対象製品 対象製品版数(暫定/確定) CVE ID/公告URL(任意) CVSS(任意) 優先度(P0/P1/P2) ステータス(受付/トリアージ/調査中/回答中/対策中/クローズ) VEX(affected/not_affected/under_investigation) 決定理由(1〜3行) 暫定対策(あれば) 恒久対策(予定/版数/日付) 担当(Owner) 承認者 証跡リンク/ID(SBOM/構成/チケット等) OEM提出履歴(日時/相手/版) 備考 例:INC-2026-0042 2026-07-31 OEM 2026-08-05 2026-08-02 2026-08-03 メーターパネル v2.3.1(暫定) CVE-2026-XXXX - - P0 調査中 under_investigation 対象版数と到達性を確認中(SBOM行ID:123確認予定) - 修正版検討中(次回更新で提示) 山田 佐藤 SBOM-123/CHG-88 - 一次回答:受領+次回更新日
用語の補足

テンプレにある「CVE/CVSS/公告」などの基本用語を短く確認したい方はこちら。

ステータス運用ルール(これだけ固定すると迷いが減る)

台帳のステータスは、細かくしすぎると更新が止まります。最初はこの6つで十分です。

  1. 受付(案件化済み)
  2. トリアージ(優先度・次回更新日決定)
  3. 調査中(対象版数/到達性/前提条件の確認)
  4. 回答中(一次回答/最終回答の作成・承認)
  5. 対策中(暫定/恒久、修正版、配布)
  6. クローズ(提出履歴・証跡が揃った)

このままのテンプレを自社向けに調整(役割、SLA、承認線、列の最小化)したい方はご相談ください。

【無料】オンライン相談を予約する

FAQ:台帳運用・アサイン表について

Q1. 台帳はチケットツールがあれば不要ですか?

不要ではありません。チケットツールでも、期限(相手/社内)、次回更新日、VEX、決定理由、証跡が揃っていないと監査・OEM照会で再現できません。まずはテンプレの列を“チケット項目”に移植するのが近道です。

Q2. 「次回更新日」はなぜ必須ですか?

調査中のまま放置に見えるのを防ぐためです。結論が出なくても、受領+次回更新日があればSLA運用が成立し、相手の不安(追加質問)も減ります。

Q3. 兼務で承認者まで置けません。

最低限「外部に出す文面の承認」だけは別に置くのがおすすめです。承認が難しい場合は、提出対象(顧客/OEM)とリスクによって承認要否を切るルールを作るだけでも事故が減ります。

Q4. VEX(影響あり/なし/調査中)を台帳に入れるメリットは?

「結論の言い回し」が固定化され、決定理由(根拠)とセットで残せるため、追加質問が減ります。台帳がそのままOEM回答書の材料になります。

進捗管理と回答書作成、システムで一元化しませんか?

Auto PSIRT Cloudなら、この台帳テンプレにある「トリアージ」「VEX判定」「期限管理」がすべて組み込まれています。AIが判断をサポートし、ボタン一つでOEMへの回答書が出力されます。

CVEトリアージと影響判定の流れをデモで見る