2023年11月14日 更新

CSIRT(シーサート)とは。企業が必要とする理由や役割、設置の流れを紹介

CSIRTとは、セキュリティインシデント発生時、ハンドリングを行い被害を最小限に抑えるように努める組織のことです。さまざまなサイバー攻撃の脅威に晒される昨今では、自社のセキュリティ強化のためにCSIRTを設置する企業が増えています。本記事では、CSIRTの意味や必要性、詳しい役割、自社に設置する流れを紹介します。

セキュリティ対策に有用なCSIRTとは

CSIRTとは、セキュリティ対策を行う専門チームのことです。インシデント発生時の対応に重点を置いているのが特徴です。CSIRTの意味と、同じくセキュリティ組織であるSOCとの違いを解説します。

CSIRTとは

CSIRT(シーサート)とは、セキュリティインシデントへの対応を行う専門のチームのこと。「Computer Security Incident Response Team」の頭文字をとったものです。平常時は脆弱性情報の収集や対処などを行い、インシデント発生時は原因究明やシステム停止などの初期対応、その後の復旧、再発防止、社内外との連携といったさまざまな業務を担います。

SOCとの違い

企業のセキュリティ対策を担うチームとしては、CSIRTの他にSOC(ソック)もあります。SOCとは「Security Operation Center」の略で、ネットワーク通信や機器を監視し、被害が発生する前の予兆を検知してインシデントを未然に防ぐよう務める組織です。インシデント発生時はCSIRTと連携し、データ解析やログ分析なども行います。CSIRTがインシデント発生時の対応に重点を置くのに対し、SOCはインシデントの検知に重点を置くのが主な違いです。

企業がCSIRTを必要とする理由とメリット

あらゆるサイバー攻撃への対応が迫られる昨今、インシデントへの迅速な初動対応を可能にするCSIRTが重要視されています。企業におけるCSIRTの必要性と設置のメリットを紹介します。

多様化するサイバー攻撃への対応が迫られている

昨今、サイバー攻撃の手法が多様化・高度化しています。とりわけ情報資産を数多く保有する企業では、不正アクセスを始めとするあらゆる脅威への対策が必須です。ひとたびインシデントが発生すると、サービスの復旧に多大なコストがかかるだけではなく、顧客からの信頼を損ないビジネスの存続が危ぶまれる可能性もあります。脅威をゼロにすることが難しい現代では、インシデント発生時の損失を最小限に抑えることを重視する企業が増えています。

CSIRTを設置すれば迅速な対応が可能に

CSIRTを設置すると、万が一のインシデントが発生した際に迅速に対処でき、被害を最小限に抑えられます。社内のインシデント対応窓口の一本化や情報管理の一元化ができるので、着実で効率的な対応が可能となります。

CSIRTの種類と具体的な役割

CSIRTは対象や業務の範囲により6つの種類に分けられています。基本的には、インシデントの事前・事後対応、日々の品質向上が主な役割です。CSIRT設置を検討するにあたり、種類と役割を押さえておきましょう。

CSIRTの種類一覧

CSIRTは6つの種類に分けられます。別個の組織として運用される場合や、1つのチームが複数の業務を兼ねる場合もあります。

<CSIRTの種類>

National CSIRT 国や地域に関わるインシデントに対応する
Internal CSIRT 自社や顧客に関わるインシデントに対応する
Analysis Center 新たな脅威や脆弱性に関する情報を調査・分析する
Coordination Center 国家間や企業間など、複数のCSIRT間で情報共有を行うための調整をする
Vendor Team 自社製品の脆弱性に対応する窓口
Incident Response Provider 企業などから依頼を受けインシデント対応を代行する業者

役割①インシデントへの事前対応

事前対応としてはインシデントの回避や予防に関する業務を担います。高度化する脅威に対し幅広く情報収集を行い、調査・研究をしてセキュリティツールを導入するなどの対策を講じるのが主な内容です。その他、外部組織との連携や社内外での連絡体制の構築など、インシデントが発生した場合に備え準備に取り組みます。

<主な業務>


  • セキュリティ関連情報の提供

  • インシデントの検知

  • セキュリティツールの管理・開発

  • セキュリティ監査


役割②インシデントへの事後対応

インシデントが発生した際は、被害の軽減策を講じたりやシステムの復旧を行ったりします。速やかに状況の把握と原因の分析、経営層やベンダーなど関係各所への報告を行い、問題のトリアージや問題解決、システム復旧をした後、再発防止策を検討します。被害が拡大しないよう初期で事態収束を図ることが重要です。

<主な業務>


  • インシデントハンドリング

  • 脆弱性情報のハンドリング

  • システム停止・復旧

  • 再発防止策の検討


役割③セキュリティ品質の向上

平常時の定例業務として、リスク評価や従業員へのセキュリティ教育を実施し、品質の向上に務めます。マニュアルやルールを策定し、社内での認知を高めておくことも大切です。

<主な業務>


  • リスク評価分析

  • インシデントへの復旧計画の作成・改変

  • セキュリティコンサルティング

  • セキュリティ教育

  • 社内への啓蒙活動


社内にCSIRTを設置するまでの流れ

自社にCSIRTを設置するには、経営層からの承認、体制の整備、社内への周知が必要です。社内にCSIRTを設置する流れの一例を紹介します。

STEP1.プロジェクトの立ち上げ

まずはCSIRTの設置にあたり関連メンバーを集め、体制の構築、プロジェクト運営のスケジューリングやルールの策定などを行います。構成メンバーはセキュリティ技術者としてフルスタックの知見がある人、マネジメントとしてストレス耐性や交渉能力に長けている人などが適任です。同時に、CSIRTを設置することで自社にどのようなメリットがあるのか経営層へ説明を行い、理解を得るようにしましょう。

STEP2.現状の把握

次にCSIRT設置に向けた課題や方向性を抽出するために、社内の現状のセキュリティ対応について情報を収集し問題を把握します。現在のインシデント発生時の業務フローや社内規程、守るべき情報資産、考えうる脅威などを整理し、問題点を洗い出しましょう。想定される問題の内容やリスクレベルに合わせて、社内でのCSIRTの位置付けや規模、必要とされるサービス、設置のコストなどを見積もります。

STEP3.構築計画の作成

STEP2で抽出した課題や問題点をもとに、どのようなチームにするか構築計画を作成します。基本構想、活動範囲、業務内容、社内体制、外部組織との連携体制などを明確にするとともに、リソースや予算の割り出しも必要です。CSIRTとして独立した部署にする、各部署から担当者を集め部署を横断した編成にするなど、構成は目的に合わせて選んでください。

STEP4.体制の整備

構築計画をもとに運用に向けた体制を整備します。リソースや人員の確保、必要な設備の準備、ポリシーの策定、手順の作成など、具体的な準備を進めます。CSIRTメンバーへの教育も実施し、情報セキュリティへの理解を深めてもらう必要もあるでしょう。模擬のインシデントで活動のシミュレーションを行う訓練を定期的に実施するようにすると体制の強化に効果的です。

STEP5.運用開始

CSIRTの設置を社内に告知し、いよいよ活動開始です。社内に活動内容やインシデントがあった際の連絡先などを周知徹底していきましょう。運用開始後は、定期的にニーズや活動結果の分析を行い、品質の向上やサービスの拡充に向け再検討を重ねます。外部組織との適切な連携体制を模索していくことも大事です。

CSIRTとはインシデントリスクの軽減に貢献する組織

CSIRTは、セキュリティインシデント発生時の被害を軽減することを目的として設置される組織です。多くの脅威に晒される企業においては、インシデントが起こった際の迅速な対応が求められます。自社のセキュリティ強化を図るには、まずは現状の問題点を洗い出し、自社に合った対応を検討してみましょう。

※記載の情報は、2023年11月時点の内容です。