CSIRT(Computer Security Incident Response Team)
シーサート
CSIRTとは
CSIRT(Computer Security Incident Response Team)とは、セキュリティインシデントが起こることを前提に対応するための組織、またはチームのことを指します。CSIRTの活動はインシデント発生時のみならず、平時であってもインシデント対策に幅広く関わります。たとえば、日々のセキュリティ品質向上や未然に防ぐ事前対策、被害を最小限に抑えるための発生時の復旧対応、再発防止や社内外の通報を含めた事後対応などがあります。
CSIRTの業務内容
CSIRTはインシデント発生時に備え日常から通報窓口を確立し、対応ルールを策定して従業員へ周知する役割があります。これにより、インシデントが発生した際には迅速かつ効果的に連携を取ることが可能です。インシデント発生時には被害を最小限に抑えるための調査と適切な措置を実施します。また、復旧作業のみならず、経営層や関係各部門、警察への報告なども対応業務です。事後対応としては再発防止策の立案や策定を行い、従業員への注意喚起や教育も行います。
CSIRTの関連語
- SOC(Security Operation Center)
SOC(Security Operation Center)とは、CSIRTと同じくセキュリティ対応を専門とする組織です。CSIRTがセキュリティインシデント発生時の対処に重点を置くのに対し、SOCはセキュリティインシデントの検知に重点を置いています。SOCが検知・分析した結果をもとに、CSIRTがインシデント対応に役立てており、双方は補完関係です。SOCについてはこちらもご覧ください。
- CISO
CISO(Chief Information Security Officer)とは、情報セキュリティを統括する立場にある、最高情報セキュリティ責任者のことです。経営層もしくは同等に準ずる権限を持ちます。CSIRTが現場でインシデント対応業務を行う際に、CISOは一切の情報セキュリティに対する権限を持ち、取り仕切ります。平時にセキュリティの構築・運営や対策製品の導入の決定権を持つのもCISOです。いわば野球の選手と監督のような立ち位置のイメージです。CISOについてはこちらもご覧ください。