---
read_when:
    - セキュリティ報告またはセキュリティインシデントの疑いへの対応
    - 調整された開示またはパッチ適用済みセキュリティリリースの準備
    - インシデント後のフォローアップ期待事項をレビューする
summary: OpenClaw がセキュリティインシデントをトリアージし、対応し、フォローアップする方法
title: インシデント対応
x-i18n:
    generated_at: "2026-07-05T11:48:33Z"
    model: gpt-5.5
    postprocess_version: locale-links-v1
    provider: openai
    source_hash: 30f2d754408e95133ee86254ce193c0d8aab293040df55e0c1cec0c4d7644c56
    source_path: security/incident-response.md
    workflow: 16
---

## 1. 検出とトリアージ

セキュリティシグナルの発生元:

- GitHub Security Advisories (GHSA) と非公開の脆弱性報告。
- 報告が機微でない場合の公開 GitHub issue/discussion。
- 自動シグナル: Dependabot、CodeQL、npm advisories、secret scanning。

初期トリアージ:

1. 影響を受けるコンポーネント、バージョン、信頼境界への影響を確認する。
2. `SECURITY.md` の対象範囲および対象外ルールを使用して、セキュリティ issue か、強化/対応不要かを分類する。
3. インシデントオーナーがそれに応じて対応する。

## 2. 重大度

| 重大度 | 定義                                                                                                                                                                                    |
| -------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Critical | パッケージ/リリース/リポジトリの侵害、実際の悪用、または高影響の制御やデータ露出を伴う、未認証での信頼境界バイパス。                                       |
| High     | 限定的な前提条件を必要とする検証済みの信頼境界バイパス (たとえば、認証済みだが権限のない高影響アクション)、または OpenClaw が所有する機微な認証情報の露出。 |
| Medium   | 実用上の影響は大きいが、悪用可能性が制約されている、または相当な前提条件を必要とする重大なセキュリティ上の弱点。                                                                      |
| Low      | 多層防御の所見、範囲が限定されたサービス拒否、または実証された信頼境界バイパスを伴わない強化/同等性のギャップ。                                                  |

## 3. 対応

1. 報告者に受領を確認する (機微な場合は非公開で)。
2. サポート対象リリースと最新の `main` で再現し、その後リグレッションカバレッジ付きのパッチを実装して検証する。
3. Critical/High: 実務上可能な限り迅速にパッチ済みリリースを準備する。
4. Medium/Low: 通常のリリースフローでパッチを適用し、緩和策のガイダンスを文書化する。

## 4. コミュニケーションと開示

影響を受けるリポジトリの GitHub Security Advisories、修正済みバージョンのリリースノート/changelog エントリ、および状態と解決に関する報告者への直接フォローアップを通じて連絡する。

Critical/High インシデントは、適切な場合に CVE 発行を伴う協調的な開示を行う。低リスクの強化所見は、影響とユーザー露出に応じて、CVE なしでリリースノートまたはアドバイザリに文書化される場合がある。

## 5. 復旧とフォローアップ

修正を出荷した後:

1. CI とリリースアーティファクトで修復を検証する。
2. 短いインシデント後レビューを実施する: タイムライン、根本原因、検出ギャップ、予防計画。
3. フォローアップの強化/テスト/ドキュメントタスクを追加し、完了まで追跡する。

## 関連

- [セキュリティポリシー](https://github.com/openclaw/openclaw/blob/main/SECURITY.md) — 報告範囲と信頼モデル。
- [脅威モデル](/ja-JP/security/THREAT-MODEL-ATLAS)
