CSIRT(シーサート)とは、セキュリティ事故が発生した時に緊急対応を実施するチーム(組織)のことを言います。
英語で書くと、Computer Security Incident Response Teamと書き、コンピュータセキュリティ事故(インシデント)への対応チームということがわかります。
似たような言葉で、PSIRTというものもありますが、PSIRTは、Product Security Incident Response Teamで、自社の製品やサービスなどのプロダクトに関するセキュリティ事故対応チームです。どちらも事故発生時の対応チームですね。
あと、CERT(サート)という同じ呼び方の組織もあります。CERTは、JPCERT/CCのことで、セキュリティ事故 について、日本国内に関するインシデント等の報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっている機関となります。
とらくん
同じような呼び方のものがいくつもあって、混乱しちゃうね・・・
毘沙門天さん
一般的にサートって言ったら、社内での事故対応チーム(CSIRT)のことを言って、CERTのことはジェーピーサートって言ってるかな。ここは社内の仲間たちとで呼び方の認識合わせをしておいたほうがいいね!
CSIRTが提供している機能
CSIRTは、以下の機能を提供しています。
セキュリティ事故発生時に迅速な対応が必要になりますので、平時のうちに組織化は必須です。
| CSIRTの提供機能 |
| セキュリティ事故発生時の連絡窓口 |
| 事故の原因調査/分析、対応策の検討 |
| 初動対応、収束/復旧対応 |
| 経営層へのエスカレーション |
| 社外関係先への連絡対応 |
| セキュリティ情報共有機関との連携 |
| 再発防止策策定 |
毘沙門天さん
SIRT組織は、セキュリティ事故が発生した時に迅速な対応が必要になるから、事故が発生していない平時からメンバーを決めて、対応訓練をしておかないと、緊急時に何もできないよ!
CSIRTの位置づけ
CSIRTは、セキュリティ事故発生時に中心的に動く組織になりますので、すべての中心に位置しています。
自社内・社外とも、発生したセキュリティ事故の中心となって、連絡窓口や原因調査、各種対応を行っていきます。
うまくん
緊急時の連絡先もちゃんと整備しておかないといけないね。大変そう・・・
毘沙門天さん
サイバー攻撃を受けた企業を見てると混乱して何もできてなかった。平時にやれることはやっておいて、少しでも迅速な対応ができるようにしておこう!
