CSIRT(シーサート)とは？情シスが知っておきたいCSIRTの役割とSOCとの違い

サイバー攻撃が脅威を増している今。企業はセキュリティインシデントが発生したことを考えて備える必要があると言われています。この来たるべき脅威に対応するための組織が「CSIRT/シーサート（Computer Security Incident Response Team：コンピュータセキュリティインシデント対応チーム）」です。今回はこのCSIRTについて、その必要性やSOCとの違いについて見ていきましょう。
なお、このnoteは主に中堅・中小規模の企業の新任情シスや兼任情シス向けの内容です。

1．セキュリティ上の問題を監視、問題発生時に速やかに対応する組織がCSIRT

近年、多くの企業がサイバー攻撃の被害にあっています。情シスを対象にした調査※によると、セキュリティインシデントの「経験あり」と回答したのは45.2％にも上ることがわかっています。
※情報システムの現状とIT システム活用実態アンケート 2024

※情報システムの現状とIT システム活用実態アンケート 2024

いまや、あらゆる企業がサイバー攻撃被害の対象となる可能性があり、サイバー攻撃を「防御」するだけではセキュリティ対策は不足であり、攻撃された後の備えも必要があると考えられるようになりました。つまり、サイバー上の脅威を監視し「検知」することや、インシデント発生の際に「対応」すること、攻撃後に「復旧」することも必要とされるようになりました。

このような考え方の背景には、日本政府やIPAなども取り入れているNIST（アメリカ国立標準技術研究所）が提唱するサイバーセキュリティフレームワークがあります。このフレームワークでは、①識別(特定)（Identify）、②防御（Protect）、③検知（Detect）、④対応（Respond）、⑤復旧（Recover）という5つの機能が定義されています。 

▲NISTサイバーセキュリティフレームワーク

このうち、③検知（監視、分析、報告など）を行う役割を担う組織が「SOC（Security Operations Center：セキュリティオペレーションセンター）」と呼ばれています。

一方、④対応（インシデント対応や分析依頼など）を行うのがCSIRTという区分になります。JNSAによると下図のようになります。SOCが検知報告することでCSIRTは対応するというものですが、この区分はあくまで一般的なものであり、企業規模や組織のあり方により区分は異なる場合があります。例えばCSIRTが監視も行うケースや、SOCがインシデント対応支援を行うケースもあります。

出典：『セキュリティ対応組織の教科書 第3.1版 (2023年10月) 』NPO 日本ネットワークセキュリティ協会 （JNSA）、日本セキュリティオペレーション事業者協議会 （ISOG-J）図内「CDC（サイバーディフェンスセンター）」という用語は、「組織において、ビジネス活動におけるサイバーセキュリティリスクを管理するためのセキュリティサービスを提供する主体」と定義されています。少し理解が難しい用語ですが、企業全体のサイバーリスクを俯瞰して見通す存在であり、セキュリティを統括する立場と言えます。

まとめると、CSIRTの目的は、セキュリティインシデントが発生した際に、そのインシデントに対応し被害を最小限に抑えることとなります。そのためにも、インシデントの調査、対応、再発防止策の検討、将来のインシデントを防ぐための対策を講じるなどの役割を持つ組織となります。どのような活動をするのか、次の項で見てみましょう。

2．CSIRTの活動イメージ

CSIRTは時折「消防署」に例えられます（※）。セキュリティインシデントに対応することと、火災への消火活動を行うことが似たイメージだと言います。このような例で考えると、CSIRTがどのような役割を持つ組織なのかイメージしやすいのではないでしょうか。

※出典：『経営リスクと情報セキュリティ～CSIRT：緊急対応体制が必要な理由～』一般社団法人 JPCERT コーディネーションセンター（上図も含む）

それでは、このCSIRTがどのような活動を行うのか、IPA資料をもとにセキュリティインシデントが発生する流れとともに見てみましょう。下図ではサイバー攻撃者が、ある企業に攻撃したケースを考えてみましょう。

1. サイバー攻撃を受けたある企業では、自社のPCがウイルス感染の被害に遭う。システムを監視しているSOCが不正な通信を検知する。

2. SOCはCSIRTに発生した事象を報告。システム運用委託先や外部ベンダ等とも連携。

3. CSIRTはインシデントの影響を分析し、対応優先度を判断した後に、自社システム等をネットワークから遮断し、被害の最小化のための封じ込めを行う。

4. 恒久対策を実施し、サービスやシステムを復旧する。

※IPA「プラクティス・ナビ」「サイバーセキュリティ経営ガイドラインVer3.0 実践のためのプラクティス集 第4版」をもとに作成

3．CSIRTを学ぶためのおすすめ資料

CSIRTについて、その概要を取り上げてきましたが、もう少し詳しく学びたい方や構築を検討している方に向けて参考になる資料を下記にまとめました。

CSIRTマテリアル
JPCERT/CCによると、CSIRTを構築・運用していくには、「構想フェーズ」→「構築フェーズ」→「運用フェーズ」の3段階に分けられるとのこと。この3つのフェーズに分けて関連する資料が整理されています。 

JPCERT コーディネーションセンター CSIRTマテリアル

サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集
CSIRT業務に関する実践的な情報を図説を交えながらわかりやすく紹介しています。

サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

日本シーサート協議会
日本シーサート協議会は、企業のCSIRT組織同士が連携し、様々なインシデントの関連情報や脆弱性情報、攻撃予兆情報などを収集し共有する組織です。2024年03月29日時点で520チームのCSIRTが加盟しています。CSIRT構築関連情報、ワークショップ情報など様々な情報が提供されています。

CSIRT構築ガイド｜公開資料一覧｜CSIRT - 日本シーサート協議会

おわりに

今回は、「火事に備える消防署」にも例えられる組織である、CSIRTの役割や具体的な活動イメージなどを紹介しました。サイバー攻撃が先鋭化してくる中、SOCとともにますます重要になるセキュリティ組織です。本記事を参考にセキュリティ組織の構築やセキュリティ対策のさらなる強化に役立てていただければ幸いです。

＜関連記事＞

「セキュリティ対策が不安」なら？ まずは5つのチェックで自社のリスクを可視化しよう【Security Upgrade-1】

Security Update 2023…レベル別に考える、セキュリティ対策のNEXTステップ ｜ 情シスレスキュー隊

 また、ソフトクリエイトは「情シスレスキュー隊」にて、情シスに役立つ様々な情報を発信しています。こちらもぜひご覧いただき、情シス業務にお役立てください。

情報システム部の悩みや課題を解決する、情シスサポートメディア | 情シスレスキュー隊