シーサートと読む。組織のセキュリティを守る「消防隊」や「救急隊」に相当する専門チームだ。

概要

マルウェア感染、不正アクセス、情報漏洩といったコンピュータセキュリティに関わるインシデント（事故・事案）が発生した際に、その対応を一元的に担うために組織される。インシデント発生の連絡を受け付け、原因を分析し、対応を指揮し、被害を最小限に食い止めるのが使命だ。

主な機能

CSIRTの活動は、インシデント発生後にだけ存在するわけではない。その活動はインシデント対応のライフサイクルに沿って定義される。

• 準備 (Preparation)
  • インシデントが発生する「前」の活動。対応計画の策定、ツールの準備、担当者の訓練など、有事に備える。
• 検知と分析 (Detection & Analysis)
  • インシデントの兆候を検知し、それが本当に対応が必要な事案であるか、どのような影響があるかを分析・評価する。
• 封じ込め、根絶、復旧 (Containment, Eradication, & Recovery)
  • インシデント対応の核。被害拡大を防ぐための「封じ込め」、原因を完全に除去する「根絶」、そしてシステムを正常な状態に戻す「復旧」という一連のプロセスを実行する。
• 事後対応 (Post-Incident Activity)
  • 対応完了後、インシデントの原因や対応プロセスをレビューし、報告書を作成する。そして、再発防止策を検討し、全体のセキュリティ体制を強化する。このフェーズが組織の成長に繋がる。

SOCとの違い

CSIRTとしばしば混同されるのがSOC（Security Operation Center）だ。

• SOC: 24時間365日、ネットワークやシステムを監視し、インシデントの「兆候を検知する」のが主な役割。「警備員室」に例えられる。
• CSIRT: SOCなどから報告を受け、実際に発生したインシデントの「対応と収束」を行うのが役割。「消防隊」や「特殊部隊」だ。

監視と対応、という役割分担がされている。

結論

CSIRTの存在は、組織がセキュリティインシデントに対して場当たり的ではなく、体系的かつ迅速に対応できるかどうかを左右する。インシデントは「必ず起こるもの」という前提に立ち、その発生に備えてCSIRTを構築・維持することは、現代の組織にとって不可欠なリスクマネジメントの一環だ。