CERT(コンピュータ緊急対応チーム) さーと
簡単に言うとこんな感じ!
CERTは「サイバー攻撃や情報漏えいが起きたとき、消火活動をする専門チーム」だよ!火災報知器が鳴ったときに駆けつける消防署みたいなイメージ。問題が起きたとき素早く対処して被害を最小限に抑えるのが役割なんだ!
CERTとは
CERT(Computer Emergency Response Team)とは、コンピューターやネットワークに関するセキュリティインシデント(事故・攻撃・障害など)を検知・分析・対応するための専門チームのことです。サイバー攻撃や情報漏えい、システム障害が発生したときに「最初に動く部隊」として機能し、被害の拡大を防ぎ、原因究明から復旧までを担います。
もともとCERTは1988年に世界初の大規模なサイバー攻撃「モリスワーム」をきっかけに米国カーネギーメロン大学に設置された組織の固有名称でした。その後、同様の役割を持つ組織が世界中に広がり、現在では「セキュリティインシデント対応チーム全般」を指す一般名詞としても使われています。なお、CSIRT(Computer Security Incident Response Team)という名称も同義で使われることが多く、日本ではCSIRTという呼び方が普及しています。
企業・官公庁・大学など、あらゆる組織がCERT/CSIRTを設置する動きが広まっています。自社で専任チームを持つケースのほか、国や業界単位で設置された公的CERTを活用するケースもあります。発注担当者の立場では、「うちの会社はサイバー攻撃を受けたとき誰が動くのか」を把握しておくことが重要です。
CERTの役割と活動内容
CERTが担う活動は大きく「事前対応(予防)」「事中対応(検知・封じ込め)」「事後対応(復旧・再発防止)」の3フェーズに分かれます。
| フェーズ | 主な活動 | 具体例 |
|---|---|---|
| 事前対応(予防) | 脆弱性情報の収集・展開、啓発・訓練 | パッチ適用の周知、フィッシング訓練の実施 |
| 事中対応(検知・封じ込め) | インシデント検知、影響範囲の特定、封じ込め | 感染端末のネットワーク遮断、ログ解析 |
| 事後対応(復旧・再発防止) | システム復旧、原因究明、再発防止策の立案 | フォレンジック調査、セキュリティポリシー改訂 |
CERT・CSIRT・SOCの違いを整理しよう
似た組織名が多くて混乱しがちなので、整理しておきましょう。
| 名称 | フルネーム | 主な役割 | 視点 |
|---|---|---|---|
| CERT | Computer Emergency Response Team | インシデント対応全般の元祖概念 | 対応・調整 |
| CSIRT | Computer Security Incident Response Team | CERTとほぼ同義。日本での主流名称 | 対応・調整 |
| SOC | Security Operation Center | 24時間365日の監視・検知が主体 | 監視・検知 |
「SOCが火災センサーとして常時監視し、異常を検知したらCSIRT(CERT)が消防隊として対処する」と覚えると分かりやすいです。
覚え方:「CERT=サートと呼んで救急車」
CERTは「さーと」と読みます。「サイバー事故のときに呼ぶ救急車チーム」と覚えましょう。119番(消防・救急)に相当するのがCERTのイメージです。
歴史と背景
- 1988年11月 — 米国でモリスワームが爆発的に拡散。インターネット接続コンピューターの約10%(約6,000台)が感染し、インターネット黎明期最大の危機となる
- 1988年12月 — 米国防総省の支援のもと、カーネギーメロン大学のソフトウェア工学研究所(SEI)に世界初のCERT「CERT/CC(CERT Coordination Center)」が設立される
- 1990年代 — 各国・各機関でCERTの設置が相次ぐ。日本では1996年にJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が発足
- 2000年代 — 企業・政府機関での内部CSIRT設置が本格化。経済産業省が企業へのCSIRT整備を推進
- 2014年〜 — 日本シーサート協議会(NCA)の活動が活発化。企業間での情報共有が促進される
- 2017年〜 — サイバー攻撃の高度化・ランサムウェアの急増を背景に、中小企業でもCERT/CSIRT設置の必要性が広く認識されるようになる
世界のCERT組織の構造
CERTは「国際→国内→組織」の階層で連携しながら情報を共有し合っています。
日本の主なCERT/CSIRT組織
| 組織名 | 種別 | 主な役割 |
|---|---|---|
| JPCERT/CC | 国内調整CERT | 脆弱性情報の収集・公開、インシデント調整、国際連携 |
| IPA(情報処理推進機構) | 政府系 | 脆弱性届出受付、マルウェア情報公開 |
| 金融ISAC | 業界CERT | 金融機関向け脅威情報共有 |
| 日本シーサート協議会(NCA) | 企業CERT連合 | 企業CSIRT同士の情報共有・連携促進 |
| 各企業CSIRT | 組織内CERT | 自社インシデントの検知・対応 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 2350 | CSIRTが公開すべき情報(ポリシー・連絡先等)の標準フォーマットを定義 |
| RFC 7970 | インシデント情報をCERT間で共有するためのデータ形式「IODEF」(Incident Object Description Exchange Format)の最新版 |
| RFC 5070 | IODEFの旧版。CERT間インシデント情報共有フォーマットの原点 |
関連用語
- CSIRT — CERTとほぼ同義。日本で広く使われるセキュリティインシデント対応チームの呼称
- SOC — Security Operation Center。24時間365日でシステムを監視・検知する組織
- インシデントレスポンス — セキュリティ事故発生時の対応プロセス全般
- 脆弱性 — システムやソフトウェアのセキュリティ上の弱点
- JPCERT/CC — 日本国内のインシデント対応を担う調整センター
- フォレンジック — インシデント後に証拠を収集・分析する技術・手法
- IODEF — CERT間でインシデント情報を共有するための標準データフォーマット
- ランサムウェア — ファイルを暗号化して身代金を要求するマルウェア。CERTへの報告事案として急増