CSIRT(シーサート:Computer Security Incident Response Team)は、企業や組織内でサイバー攻撃や情報漏洩などのセキュリティ事故(インシデント)が発生した際、迅速に対応して被害を最小限に抑え、復旧や再発防止を行う専門チームです。主な業務は、事前の予防措置、事故発生時の調査・分析・対応、および関係各所との情報共有です。
CSIRTの概要と役割
- 読み方: シーサート (Computer Security Incident Response Team)
- 目的: セキュリティインシデントの被害を最小化し、早期復旧と再発防止を図る。
- 主な活動内容:
- 平時: セキュリティ対策の導入、脆弱性情報の収集・分析、社員教育、脅威情報のモニタリング。
- 緊急時: インシデントの検知・報告、被害調査・分析、対応策の決定・実施、原因究明、メディア対応 。
CSIRTとSOCの違い
SOC(Security Operation Center)が「監視・検知」を主体とするのに対し、CSIRTは検知した事象に対する「対応・解決」を主体とします。
- SOC: ログ監視、セキュリティ機器の管理、インシデントの検知・分析
- CSIRT: インシデントへの初動対応、復旧支援、被害の拡大防止、再発防止策
CSIRTの構築と体制
- 構成: IT部門だけでなく、法務、広報、経営層など組織横断的なメンバーで構成されることが重要。
- 運営形態: 自社専用のインシデント対応チーム(Internal CSIRT)や、セキュリティベンダーのサービスを利用するなど、企業の規模や特性に合わせる。
- 日本国内の動向: 日本シーサート協議会(NCA)が、日本国内のCSIRT間の連携や情報共有を促進している。
近年、攻撃の高度化によりCSIRTの重要性が高まっており、企業運営において不可欠な組織となりつつあります。
コメント