ニュースや資格試験で「CSIRT(シーサート)」という言葉を見かけたことはありませんか?
CSIRTは企業や組織におけるセキュリティ事故対応チームのこと。
とは言ってもなかなかイメージがしづらいですよね。
この記事では、CSIRTの役割や他のチームとの違いを、できるだけ身近な例を使って解説します。
CSIRTとは何をするチーム?
CSIRTはComputer Security Incident Response Teamの略。日本語では「コンピュータセキュリティインシデント対応チーム」といいます。
役割はサイバー攻撃や情報漏えいなど、セキュリティ事故が起きたときに対応すること。
学校に例えると、大きなケガや問題が起きたときに駆けつけるや先生のような存在です。
CSIRTは「日常業務」ではなく事故対応の専門チーム。普段の管理や更新とは区別して覚えましょう。
CSIRTが活躍する場面
- ウイルスに感染したパソコンを調査して、被害が広がらないようにする
- SNSでの情報漏えいが起きたときに影響を調べる
- サーバーへの不正アクセスがあったときに、対応を指示・支援する
つまり「トラブルが起きてから動く」のがCSIRTです。学校なら、学級トラブルが起きたときに先生や生徒会が調べて対策を立てるのと似ています。
豆知識:名前の由来
「CSIRT」という考え方が広まるきっかけは1988年のモリスワーム事件。この事件は世界で初めて大規模な被害をもたらしたコンピュータウイルスのことです。インターネット初期に大規模な被害が出て、専門の対応チームが必要だと世界的に認識されました。
CSIRTと他の活動の違い
ここが試験で狙われやすいポイントです。CSIRTは事故対応専門チームであって、普段の管理や監査は別の担当が行います。
| 活動 | 誰がする? | 学校で例えると |
|---|---|---|
| セキュリティパッチ適用 | システム管理部門 | 教科書を最新版に更新する係 |
| 事業継続計画(BCP)策定 | 経営企画・管理部門 | 避難訓練を企画する先生 |
| 入退室の監査 | 監査部門 | 職員室の出入りをチェックする係 |
| セキュリティ事故の調査と対策支援(CSIRT) | CSIRT | トラブルが起きたときに動く生活指導の先生・生徒会 |
この表からもわかるように、CSIRTは「日常の管理」ではなく「事故のときに動く専門チーム」であることが最大の特徴です。
パッチ適用や監査はセキュリティに関係しますが、CSIRTの仕事ではありません。
「事故が起きたときに動く」のがCSIRTです。
豆知識:SOCとの違い
似た言葉で「SOC(セキュリティオペレーションセンター)」があります。
SOC=24時間監視して攻撃を見張るチーム、CSIRT=事件が起きた後に調査・対策するチーム。
学校でいえば、SOCは門の前で見張っている警備員、CSIRTは問題が起きたときに対応する救急隊のイメージです。
日本にもCSIRTがある
日本には「JPCERT/CC」という有名なCSIRTがあります。国内で発生したセキュリティ事故の情報を集め、関係機関へ連携・注意喚起を行います。大きなサイバー事件がニュースになると、「JPCERTが調査中」という報道を見かけることもあります。
まとめ
- CSIRTはセキュリティ事故対応チーム
- 普段の運用や監査ではなく、事故発生時に調査・対応を行う
- 学校のイメージ:生徒会や生活指導がトラブル対応
- 他の活動(パッチ適用・BCP策定など)と役割を区別するのが重要
- SOCとは「監視」と「対応」で役割が違う
試験対策としては、「CSIRT=トラブルシュート専門チーム」と一言で覚えると記憶に残りやすいです。
