メインコンテンツにスキップ

CSIRT(シーサート)とは?

SOCとの違いについても解説

いまや企業活動は業務システムの上に成り立っており、システム障害やセキュリティ事故が発生した際の適切な対応、行動はその後の活動に大きく影響を与えます。そこで、有事の際の専門組織として編成されるのが「CSIRT(シーサート)」です。CSIRTの存在は多くの企業に必要とされているものだといえますが、具体的にはどのような組織なのでしょうか。

この記事では、CSIRTの概要から企業が必要とする理由、構築のポイントとあわせてSOC(Security Operation Center)との違いについて解説します。

 

CSIRT(シーサート)とは?

CSIRT(Computer Security Incident Response Team)とは、セキュリティ事故などのインシデントが発生した際に、調査や対応活動を行う組織です。企業内では定常的に組織される場合や、有事の際に特別に編成される場合もあります。

CSIRTはインシデントが発生した際に窓口として報告を受け取り、関連部署・組織と連携してインシデント対応を行います。インシデントの解消を目的として活動し、システム再稼働後は原因の追求と今後の対策まで対応する場合が多いでしょう。

セキュリティ事故が発生した際の対応は迅速に行う必要があります。CSIRTは事故発生後の対応をスムーズに行い、早期に解決するための組織です。

 

企業にCSIRTが必要となる理由

「セキュリティ対策を実施している」という企業は多いと思いますが、「セキュリティが万全だ」という企業は実は少ないのではないでしょうか。その理由として、インターネット活用の拡大とともに年々巧妙化するサイバー攻撃の存在が挙げられます。

例えば、標的型攻撃メールは従来のスパムメールとは異なり、実際の取引先や社内の人間、友人、知人などを騙り、フィッシングサイトへの誘導やマルウェアへの感染を誘発する攻撃を行います。一見すると通常のメールに見え、しっかりと確認しなければ見分けることが難しいものです。

このようにサイバー攻撃は巧妙化しており、セキュリティ事故が発生したあとも気づきにくくなっていることから被害を完全に防ぐことは難しいといえるでしょう。セキュリティ事故を早期に発見して対応するためにCSIRTが必要とされています。

 

CSIRTとSOCの違い

CSIRTと似たような組織としてSOC(Security Operation Center)が挙げられます。

SOCは24時間365日体制でシステムやネットワークなどを監視し、サイバー攻撃の検出や分析を行う組織です。SOCがセキュリティ事故の事前検知や対策に重点がおかれているのに対して、CSIRTは事後の対応が中心となることが両者の違いです。

セキュリティ事故の対応はよく消防に例えられます。「防火活動」に重点を置いた組織がSOCであり、「消火活動」に重点を置いた組織がCSIRTといえるでしょう。

SOCとCSIRTはどちらか片方だけでは不十分です。事前対応とあわせて、事後対応の体制を整えておくことで万全のセキュリティ対策が実現できます。

 

CSIRT構築のポイント

社内でCSIRTを設置する場合には、次のようなポイントをおさえるとよいでしょう。

  • 社風に合わせて構築する
  • 全社的に取り組む
  • 外部組織とも連携する

CSIRTを設置する際には単に部署や担当者を決めるだけではうまくいきません。部署を超えたチームの枠組みを作ることが重要であり、CSIRTが社内で認められるような活動を行う必要があります。

外部へアウトソーシングする場合も、インシデント対応には社内連携が重要になるため、専門部署だけで完結させずに全社的に取り組まなければなりません。経営層も含めてCSIRTの活動を理解してもらい、各従業員にもセキュリティ教育を実施して企業一丸となってセキュリティ事故に対応する意識を持つことが重要です。

加えて、社内の関係者だけでなく外部の関係者とも情報共有を行える環境を構築しましょう。社内だけで解決することが難しい場合には、外部のCSIRTとも協力する必要があり、スムーズなインシデント対応のために情報の共有や協力体制の構築することが重要だといえます。

セキュリティ事故などのインシデントが発生した際に調査、対応活動を行う組織であるCSIRTは、多くの企業に必要とされています。年々巧妙化するサイバー攻撃に対応するために、今後はよりその重要性が増すでしょう。

CSIRTと似た組織としてSOCが挙げられますが、SOCが事前対応に重点を置いた組織であるのに対して、CSIRTは事後対応に重点を置いた組織という違いがあります。CSIRTやSOCを自社内で組織することが難しい場合には、情報セキュリティシステムの管理を社外の専門企業が請け負う「サービスマネージドセキュリティサービス(MSS)」の利用も検討するとよいでしょう。

自社の情報セキュリティを高めるために、これらの組織の編成やサービスの利用をおすすめします。

CSIRTやSOCを検討していますか?

キンドリルのセキュリティ&レジリエンシー

お問い合わせ

キンドリルのサービスに関するお問い合わせはこちらより承っております。