情報セキュリティマネジメント試験 科目A キーワード集 > CSIRT
概要
CSIRT(Computer Security Incident Response Team:シーサート)とは、情報セキュリティインシデント(事故)が発生した際に、その対応を専門に担うチーム・組織です。インシデントの検知・分析・対応・再発防止を一元的に行い、被害を最小限に抑えます。
平常時には脆弱性情報の収集や教育・訓練を行い、有事には司令塔として対応を指揮します。組織内のCSIRTのほか、国レベルの調整を行うJPCERT/CCのような組織もあります。
詳細(役割・SOCとの違い)
主な役割
- インシデントの受付・検知・トリアージ(優先度判断)。
- 原因分析・影響範囲の特定・封じ込め・復旧。
- 関係部署・経営層・外部機関との連絡調整。
- 再発防止策の策定、平常時の脆弱性対応・教育。
| 組織 | 主な役割 |
|---|
| CSIRT | インシデント発生時の対応・指揮を担う。 |
| SOC(Security Operation Center) | システムやネットワークを常時監視し、脅威を検知する。 |
CSIRTのキーワードは「
インシデント対応の専門チーム」。
SOC=監視中心/CSIRT=対応中心という役割分担の違いが頻出です。
サイバーセキュリティ経営ガイドラインでも体制整備が求められます。
インシデント対応の流れ
- 検知・連絡受付:異常やインシデントを検知・受け付ける。
- トリアージ:緊急度・重要度を判断し、優先順位を決める。
- 封じ込め・根絶・復旧:被害拡大を止め、原因を除去し、復旧する。
- 事後対応:報告、記録、再発防止策の策定(教訓の反映)。
関連例
大規模な情報漏えいやランサムウェア被害では、CSIRTの有無と初動対応の速さが被害規模を大きく左右します。標的型攻撃の出口対策(不審な通信の検知・遮断)でも、SOCの監視とCSIRTの対応が連携して機能します。
試験での問われ方
- 「情報セキュリティインシデントへの対応を専門に行う組織はどれか」→ CSIRT。
- 「SOCとCSIRTの役割の違い」を問う問題(監視か対応か)。
- 「インシデント対応で優先度を判断することを何というか」→ トリアージ。