CSIRTとは？

詳細解説

CSIRT（Computer Security Incident Response Team）は、組織内外で発生するセキュリティインシデント（不正アクセス・情報漏洩・マルウェア感染・DDoS攻撃など）に組織的に対応するための専門チームです。インシデント対応の主要プロセスは「検知（Detect）→トリアージ（緊急度・影響範囲の評価）→封じ込め（Contain）→根絶（Eradicate）→復旧（Recover）→事後分析（Post-Incident Review）」の6フェーズで構成されます。CSIRTの役割は事後対応だけでなく、脆弱性情報の収集・社内啓発・インシデント発生時の窓口機能・外部機関（JPCERT/CC・警察・関係省庁）との連絡調整も含みます。国内ではJPCERT/CCが国内CSIRTの中核として機能し、各組織のCSIRTと連携しています。SOC（Security Operations Center）との違いはSOCが主に24時間365日のリアルタイム監視・ログ分析を担当するのに対し、CSIRTはインシデント発生後の対応・調整・復旧の専門組織という役割分担があります。両者は補完関係にあり、大規模組織では両方を設置します。インシデント対応の法的義務として個人情報保護法（改正法）では個人データ漏洩時の72時間以内の報告が求められ、CSIRTがその対応の中心を担います。ITパスポート試験では「CSIRTの役割」「SOCとの違い」「インシデント対応プロセスの流れ」が出題されます。

ITパスポートでの出題ポイント

• 1インシデント対応の専門組織（検知→トリアージ→封じ込め→復旧）
• 2SOCは常時監視担当、CSIRTはインシデント対応・調整担当
• 3JPCERT/CCが国内CSIRTの中核組織
• 4個人情報漏洩時の報告対応もCSIRTの重要な役割

関連用語