CSIRT(シーサート) しーさーと
簡単に言うとこんな感じ!
CSIRTは「会社がサイバー攻撃を受けたとき、119番みたいに駆けつけて対応する専門チーム」だよ!火事を消防士に任せるように、情報セキュリティの緊急事態はCSIRTが一手に引き受けてくれるんだ。
CSIRTとは
CSIRT(Computer Security Incident Response Team=コンピュータセキュリティインシデント対応チーム)とは、企業・組織がサイバー攻撃や情報漏洩などのセキュリティインシデント(事故・事件)が発生したとき、または発生しそうなとき、その対応を専門に担う組織・チームのことです。「シーサート」と読みます。
単なるIT部門とは異なり、CSIRTは「インシデントへの対応」を中心的な役割とし、検知・分析・封じ込め・復旧・再発防止という一連のプロセスを担当します。攻撃を受けた際に「何が起きているか」「どの範囲まで被害が広がっているか」「どう止めるか」を素早く判断する司令塔的な存在です。
近年はサイバー攻撃の巧妙化・多様化に伴い、大企業だけでなく中堅・中小企業にも設置が推奨されています。日本では経済産業省やIPA(独立行政法人情報処理推進機構)がCSIRT設置を強く促しており、サプライチェーンリスク対策の文脈でもCSIRTの有無が取引先選定の基準になりつつあります。
CSIRTの役割と業務範囲
CSIRTが担う業務は「有事の対応」だけではありません。平時の備えも含めた幅広い活動が求められます。
| フェーズ | 業務内容 | 具体例 |
|---|---|---|
| 平時(予防) | 脆弱性情報の収集・共有 | セキュリティ情報の社内周知、パッチ適用推進 |
| 平時(教育) | セキュリティ啓発・演習 | フィッシング訓練、インシデント対応訓練 |
| 有事(検知) | 異常の早期発見・一次分析 | 不審な通信・ログの確認、被害範囲の特定 |
| 有事(対応) | インシデントの封じ込め・根絶 | 感染端末の隔離、マルウェア除去 |
| 有事(回復) | システム復旧・事後対応 | バックアップからの復元、関係機関への報告 |
| 事後(改善) | 再発防止策の立案・実施 | 根本原因分析、ルール・設定の見直し |
CSIRTの覚え方
「シーサートが来たら安心!」——サイバー攻撃という”火事”に対して、CSIRTは消防署のような存在です。
- 平時 = 防火訓練・点検(予防活動)
- 有事 = 消火活動(インシデント対応)
- 事後 = 原因調査・再発防止(改善活動)
CSIRTの種類・分類
組織の性質によって、CSIRTにはいくつかの種類があります。
| 種類 | 説明 | 例 |
|---|---|---|
| 社内CSIRT(企業内CSIRT) | 自社のシステム・情報を守るために設置 | 大手製造業・金融機関など |
| 国家CSIRT | 国家レベルでインシデント対応を担う | JPCERT/CC(日本)、US-CERT(米国) |
| コーディネーションCSIRT | 他のCSIRTと連携・情報共有を調整 | JPCERT/CC |
| PSIRT | 製品・サービスの脆弱性対応に特化 | ソフトウェアベンダー、IoTメーカーなど |
歴史と背景
- 1988年 — 米国でモリスワームが大規模感染。インターネット黎明期初の大規模インシデントとなり、世界初のCSIRTである CERT/CC(カーネギーメロン大学) が設立される
- 1990年代 — 欧米を中心にCSIRTが企業・政府機関に普及。FIRSTという国際的なCSIRT連携フォーラムが設立される
- 1996年 — 日本で JPCERT/CC が設立。国内の情報セキュリティ対応の中核組織となる
- 2000年代 — ネットバンキング詐欺・標的型攻撃の増加により、金融・インフラ系企業でCSIRT設置が加速
- 2015年前後 — 経済産業省が「サイバーセキュリティ経営ガイドライン」を策定し、企業にCSIRT設置を推奨。国内での設置数が急増
- 2020年代 — ランサムウェア攻撃の急増・サプライチェーン攻撃の多発により、中堅企業や自治体にも設置の波が広がる
CSIRTとSOCの違い
「CSIRT」と似た組織に SOC(Security Operation Center=ソック) があります。どちらもセキュリティ専門組織ですが、役割の軸が異なります。
ポイントまとめ:
| 比較軸 | CSIRT | SOC |
|---|---|---|
| 主な役割 | インシデント対応・指揮 | ログ監視・異常検知 |
| 活動タイミング | 平時+有事(インシデント発生時に動く) | 常時(24時間365日稼働) |
| アウトプット | 対応計画・再発防止策 | アラート・レポート |
| 位置づけ | 司令塔・意思決定 | 目と耳(センサー役) |
多くの組織では、SOCが異常を検知してCSIRTに報告→CSIRTが対応を指揮という連携体制をとっています。小規模な組織では両方の機能をひとつのチームが担うケースもあります。
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 2350 | CSIRTの定義・役割・情報公開の標準フォーマット(Expectations for Computer Security Incident Response) |
関連用語
- SOC — 24時間365日ログを監視してセキュリティ異常を検知するセキュリティ運用センター
- SIEM — ログを一元収集・分析してインシデントを早期検知するセキュリティ情報管理システム
- PSIRT — 製品・サービスの脆弱性対応に特化したCSIRTの一形態
- インシデントレスポンス — セキュリティインシデント発生時の対応手順・プロセス全般
- 脆弱性 — システムやソフトウェアに存在するセキュリティ上の欠陥・弱点
- JPCERT/CC — 日本のCSIRTの中核を担う国内コーディネーションセンター
- ランサムウェア — ファイルを暗号化して身代金を要求する悪意あるソフトウェア
- ゼロデイ攻撃 — 未公表の脆弱性を突いた、パッチが存在しない段階での攻撃手法