CSIRT
しーさーと
経営情報システム
ひとことで言うと
セキュリティインシデントの予防・検知・対応・復旧を担う組織内の専門チーム。
解説
Computer Security Incident Response Teamの略で、コンピュータセキュリティに関するインシデントに対応する組織内の専門チーム。セキュリティインシデントの予防、検知、対応、復旧を担当する。SOCがセキュリティ監視に重点を置くのに対し、CSIRTはインシデント発生時の対応と調整に重点を置く。
くわしく解説
CSIRT(Computer Security Incident Response Team)は、サイバー攻撃やシステム障害などのセキュリティインシデントに組織的に対応するための専門チームである。インシデントの予防(脆弱性情報の収集・周知)、検知(異常の監視・発見)、対応(被害の封じ込め・調査)、復旧(サービスの正常化)の全ライフサイクルを担当する。国内ではJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が国の重要インフラを支援するCSIRTとして機能している。SOC(Security Operation Center)と比較されることが多く、SOCは24時間365日のリアルタイム監視・検知に特化しているのに対し、CSIRTはインシデント発生後の対応・調査・連携調整に重点を置く点が異なる。試験ではCSIRTとSOCの役割の違いが頻出の比較問題である。
具体例で考えよう
企業のCSIRTがフィッシング攻撃によるアカウント侵害インシデントを検知し、影響範囲の調査・パスワードリセット・再発防止策の実施まで一貫して対応した。
試験対策ポイント
CSIRTとSOCの役割の違いを正確に整理する。JPCERT/CCとの関係、インシデントレスポンスの4段階(予防・検知・対応・復旧)も頻出。
関連用語
「経営情報システム」の他の用語