CSIRT（シーサート）

CSIRT（Computer Security Incident Response Team：シーサート）とは、コンピュータセキュリティに関するインシデント（事故・事件）が発生した際に対応を行う専門チームです。組織のセキュリティ体制において、インシデント発生時の「消防隊」として重要な役割を果たします。

CSIRTの役割

インシデント発生時の対応（Reactive）

組織内で情報漏洩、マルウェア感染、不正アクセスなどのセキュリティインシデントが発生した場合、CSIRTは以下の対応を担当します：

• 被害状況の調査：何が起きたのか、影響範囲はどこまでかを特定
• 原因の特定：どのような脆弱性や手口が使われたかを分析
• 封じ込め：被害の拡大を防止するための緊急措置
• 復旧作業：システムを正常な状態に戻す
• 再発防止策の策定：同様のインシデントを防ぐための対策を立案

平時の活動（Proactive）

CSIRTはインシデント発生時だけでなく、平時にも重要な活動を行います：

• 脆弱性情報の収集・分析：自組織に影響する脆弱性を監視
• セキュリティ教育・啓発：従業員向けのセキュリティ研修
• インシデント対応訓練：机上演習や実機演習の実施
• セキュリティポリシーの策定支援：組織のルール作りに参画
• 外部との連携：他組織のCSIRTや関係機関との情報共有

CSIRTの組織構成

一般的なCSIRTは、以下のような役割で構成されます：

• CSIRT責任者：全体統括、経営層への報告
• インシデントハンドラー：インシデント対応の実務担当
• フォレンジックアナリスト：デジタル証拠の収集・分析
• マルウェアアナリスト：マルウェアの解析
• 広報・渉外担当：外部への情報発信、関係機関との調整

日本のCSIRT連携

日本では、JPCERT/CC（Japan Computer Emergency Response Team Coordination Center）が国内のCSIRT間の連携を支援しています。また、日本シーサート協議会（NCA：Nippon CSIRT Association）を通じて、民間企業のCSIRT同士が情報共有や協力を行っています。

SOCとCSIRTの違い

SOCが「監視」と「検知」に重点を置くのに対し、CSIRTは「対応」と「復旧」に重点を置きます。多くの組織では、SOCがインシデントを検知し、一定以上の重大度のものをCSIRTにエスカレーションする形で連携しています。