-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
サイバー攻撃の手口が高度化するなか、インシデント発生時に迅速に対応できる体制として、CSIRT(シーサート)への注目が高まっています。
CSIRTとは、セキュリティインシデントの対応を専門に担うチームのことです。
しかし「SOCとどう違うのか」「自社に必要かどうか判断できない」「構築の進め方が分からない」といった声も少なくありません。
この記事では、CSIRTの意味・役割・SOCやPSIRTとの違いから、構築プロセスと支援サービスの活用方法まで、実務の視点からわかりやすく解説します。
目次
[開く][閉じる]- CSIRTが注目される背景
- CSIRTの必要性
- インシデント発生前の活動
- インシデント発生時・発生後の活動
- SOCとは
- CSIRTとSOCの比較
- PSIRTとの違い
- 社内CSIRT
- 組織内CSIRT・国際連携CSIRTなど
- 現状把握とスコープの設定
- 人員・予算・体制の整備
- 活動内容の設計と運用開始
- 自社構築と支援サービスの使い分け
- 支援サービスを選ぶ際のポイント
CSIRT(シーサート)とは
「CSIRT(シーサート)」とは、Computer Security Incident Response Teamの略称で、コンピューターセキュリティに関するインシデントに専門的に対応するチーム・組織のことです。
情報流出やマルウェア感染、システムへの不正侵入、Webページの改ざんなど、情報システムの運用におけるセキュリティ上の問題が発生した際に、初動対応から被害の縮小、復旧、再発防止までを担います。
なお、CSIRTと響きが似ている「JPCERT(ジェイピーサート)」は、Japan Computer Emergency Response Teamの略称で、日本国内のインシデント対応を技術的な立場から支援する組織です。
CSIRTの一種であり、国内の窓口CSIRTとして機能しています。
CSIRTは単なる技術対応チームではなく、インシデント発生における意思決定と会社調整を担う「司令塔」としての役割も持ちます。
経営層への報告や対外対応(開示・謝罪・法令対応)を含め、企業のリスクマネジメントの一部として機能する点が重要です。
CSIRTが注目される背景
近年、サイバー攻撃の手口は高度化・巧妙化しており、業種や規模を問わず被害に遭うケースが増えています。
IPAが公表する「情報セキュリティ10大脅威」でも、サプライチェーンや委託先を狙った攻撃が複数年にわたってランク入りするなど、組織を取り巻くリスクは年々高まっています。
また、業務のIT依存度の高まりや情報システムの複雑化によって、インシデントを100%防ぐことは現実的に難しい状況です。
「いつ起きてもおかしくない」という前提に立ち、発生時に迅速かつ的確に対応できる体制を整えることの重要性が、多くの企業で認識されるようになっています。
CSIRTの必要性
CSIRTが必要とされる理由は、大きく3点あります。
CSIRTの役割と業務内容
CSIRTはよく消防署に例えられます。
火災の予防活動を行い、火災が発生すれば現場に駆けつけて消火・救助にあたり、事後には原因を分析して再発防止策を講じる。この流れがCSIRTの活動と重なります。
主な役割は、インシデント発生時の連絡受付、状況の把握と対応方針の決定、原因排除・被害縮小・復旧対応、そして従業員への教育・啓発です。
インシデント発生前の活動
平常時のCSIRTは、有事に備えるための活動を継続的に行います。
主な活動内容は以下のとおりです。
| 活動 | 内容 |
|---|---|
| 情報収集 | インシデント関連情報、脆弱性情報、攻撃予兆情報の収集。 |
| インシデント対応フロー策定 | インシデントが発生した際に遅滞なく対応を開始できるようにするための対応フロー(対応手順)の策定・周知。 |
| 現状把握 | 自社が所有する情報資産やリスクの把握。 |
| 社内連携の確保 | 各部署から報告される情報セキュリティに関する情報のとりまとめや、関係部署・経営層への報告など。 |
| 外部との連携 | 他社のCSIRTや日本シーサート協議会(NCA)※、外部SOCチーム、セキュリティ顧問(外部コンサルなど)などとの連携、情報共有、信頼関係構築。 |
| 連絡窓口 | 社内および外部に対する連絡先情報(電話番号やEメールアドレス)の提供・周知。 |
| 従業員教育・注意喚起 | インシデントを予防するためのセキュリティ教育や意識向上トレーニングの実施、注意喚起。 |
※JPCERT/CC資料「CSIRTマテリアル構築フェーズ『組織内CSIRTの理解』」、「CSIRT ガイド」を参考に作成
日本シーサート協議会(NCA)とは
各CSIRT間の連携強化と課題解決を目的として2007年に設立された組織です。2026年3月時点で627の国内CSIRTが加盟しており、インシデント情報の共有やワーキンググループ活動などを行っています。
インシデント発生時・発生後の活動
インシデントが発生した際、CSIRTはまずトリアージ(分類・優先順位の判断)を行い、CSIRTが直接対応すべきか、他部署に任せて支援に回るかを判断します。
インシデント対応には技術的対応だけでなく、事業影響への対応も含まれます。たとえば、個人情報漏えい時の関係機関への報告、顧客・取引先への通知、広報対応なども重要な業務です。
主な活動内容は以下のとおりです。
| 活動 | 内容 |
|---|---|
| インシデントのトリアージ | インシデントの分類、優先順位や対応可否の判断(CSIRTが直接対応を行うべきか、対応は特定部署に任せて支援だけすれば十分か、などの判断)。 |
| 対応方法の決定、関係部署への指示伝達 | インシデントの原因や影響範囲などを踏まえた対応方法の決定と、関係部署や実際に技術的対応を行う担当者への指示伝達。 |
| インシデント対応 | インシデント原因排除や被害縮小化のための対応(マルウェア除去、パッチ適用、当該機器のネットワークからの切り離し、システム設定の変更など)の実施や支援、調整。 |
| 社内連携の確保 | 部署をまたいで発生したインシデントにおける、情報のとりまとめ・伝達などの社内調整役。 |
| 外部への連絡・報告・通知 | 警察や関係省庁、ISMSなどの審査機関、個人情報保護委員会などへの報告のほか、被害者や取引先企業などへの通知。記者会見対応やプレスリリース発信などの対応。 |
| アーティファクト分析 | 機器内のログやマルウェアなどのアーティファクト(インシデントが発生した際に残される痕跡)の分析。 |
※JPCERT/CC資料「CSIRTマテリアル構築フェーズ『組織内CSIRTの理解』」、「CSIRT ガイド」を参考に作成
CSIRTとSOCの違い
CSIRTに関連してよく耳にする組織として、SOCとPSIRTがあります。
いずれも情報セキュリティに関わる組織ですが、役割や対象範囲が異なります。それぞれの違いを順に確認していきましょう。
SOCとは
SOC(ソック / Security Operation Center)とは、組織の情報システムに対する脅威を常時監視・分析する役割を担う専門チームのことです。
ネットワークやシステムのログを収集・解析し、不審な動きを早期に検知することを主な目的としています。
CSIRTとSOCの比較
CSIRTとSOCは混同されることがありますが、役割・求められるスキル・組織形態の点で異なります。
役割の面では、CSIRTがインシデント発生後の対応に重点を置くのに対し、SOCはインシデントの検知に重点を置いています。
求められるスキルの面では、CSIRTは社内外の調整役を担うため、セキュリティ知識に加えて高いコミュニケーション能力が求められます。一方SOCは、ログ解析など高度な技術的スキルが必要です。
組織形態の面では、CSIRTは基本的に社内に構築される組織ですが、SOCは社内構築とアウトソーシングのどちらも選択できます。
実務上は、SOCが検知したインシデントをCSIRTが引き取り、対応方針を決定して各部署へ指示を出す、という連携関係になります。
SOCのアウトソーシング
社内でSOCを構築・運用するには、高度なセキュリティ人材の確保と、24時間365日体制を維持するための要員が必要です。
採用・育成コストや人件費を考えると、多くの企業にとって大きな負担となります。
こうした事情から、SOCを外部事業者にアウトソーシングする企業は少なくありません。
外部SOCは主に、24時間365日の監視、専門アナリストによるログ解析、アラートやレポートの提供といったサービスを提供しています。
SOCはEDR(Endpoint Detection and Response)が収集したエンドポイントのログを解析する役割も担っており、外部SOCと連携することで、CSIRTは異常を素早く把握し、インシデントへの対応を迅速に開始できます。
PSIRTとの違い
PSIRT(ピーサート / Product Security Incident Response Team)とは、自社製品やサービスに関するセキュリティ脆弱性に特化して対応するチームです。
CSIRTが組織全体のセキュリティインシデントを対象とするのに対し、PSIRTは自社が開発・提供する製品の脆弱性発見から修正対応・公表までを担います。
製品を外部に提供しているメーカーやソフトウェアベンダーで設置されるケースが多く、CSIRTと並行して機能することもあります。
CSIRTの種類
CSIRTは、設置される組織や活動範囲によっていくつかの種類に分類されます。
社内CSIRT
CSIRTの体制図
※JPCERT/CC資料「経営リスクと情報セキュリティ~CSIRT:緊急対応体制が必要な理由~」などを参考に作成
社内CSIRTとは、特定の企業や組織の内部に設置されたCSIRTです。自社の情報資産やシステムを守ることを主な目的とし、インシデント対応の司令塔として機能します。
社内CSIRTの組織体は大きく2種類に分けられます。専任メンバーが常時対応にあたる「専門・集中型」と、各部署のメンバーが兼任で参加する「バーチャル型」です。
どちらを選ぶかは、想定される活動内容や規模、リソースによって異なります。
組織内CSIRT・国際連携CSIRTなど
社内CSIRTの他にも、活動範囲や目的によって以下のような種類があります。
国内の窓口CSIRTとして機能するJPCERT/CCのように、特定の業界や地域全体のインシデント対応を支援する「コーディネーションCSIRT」、複数の組織が連携して情報共有や対応支援を行う「国際連携CSIRT」、そして地方自治体が設置する「自治体CSIRT」などがあります。
日本シーサート協議会(NCA)は、こうした国内のCSIRT間の連携促進を目的として設立された組織であり、2026年3月時点で627のCSIRTが加盟しています。
CSIRTの構築プロセス
CSIRTの構築は、一度に完成させるものではなく、段階的に進めていくものです。
実務上は、専任メンバーを確保できないケースも多く、まずは兼任メンバーによる小規模な体制(バーチャルCSIRT)から開始することが一般的です。
また、セキュリティ人材の不足や、経営層の理解不足が構築の障壁となることも多いため、段階的にスコープを広げていくアプローチが現実的です。
以下に、構築の大まかな流れを解説します。
現状把握とスコープの設定
まず、経営層にCSIRTの必要性を説明し、構築への承認を得ることが出発点です。
その後、各部署の業務フローや現在のセキュリティ体制、過去のインシデント対応履歴などをヒアリングし、自社の現状を把握します。
現状把握と並行して、CSIRTが対応する範囲(スコープ)を設定します。
どの部署・システム・情報資産を対象とするか、どのようなインシデントに対応するかを明確にしておくことで、その後の設計がスムーズになります。
人員・予算・体制の整備
現状把握の結果をもとに、構築チームを結成します。
情報セキュリティに詳しい社員、社内業務に精通した社員、豊富な経験を持つ社員などが適任です。構築メンバーはそのままCSIRT本体の要員になることが多いため、慎重に選定する必要があります。
予算面では、要員へのセキュリティ教育費用、必要なツールや環境の整備費用、外部支援サービスを利用する場合はその費用などを見積もっておく必要があります。
活動内容の設計と運用開始
CSIRTの責務・活動目的・活動内容・社内での位置づけを検討・決定し、文書化します。
インシデント対応フローや関連規則類を整備したうえで、要員へのトレーニング・演習を実施します。
準備が整ったら、社内および外部組織に向けてCSIRTの設置を告知し、活動を開始します。運用開始後も定期的に見直しを行い、継続的に改善していくことが重要です。
※参考:JPCERT/CC資料「CSIRTマテリアル 構築フェーズ 『組織内CSIRT構築の実践』」
構築支援サービスの活用
CSIRTの構築は自社のみで進めることもできますが、外部の支援サービスを活用する選択肢もあります。
ここでは、使い分けの考え方と支援サービスを選ぶ際のポイントを解説します。
自社構築と支援サービスの使い分け
JPCERT/CCが提供している「CSIRTマテリアル」などの資料を参考にすれば、自社のみでCSIRTを構築することも不可能ではありません。
ただし、構築にはセキュリティの専門知識と相当な労力が必要で、運用開始までのプロセスは長期にわたります。
以下のような状況に当てはまる場合は、外部の構築支援サービスの利用を検討する価値があります。
自社のみでの構築が難しい場合は、外部の専門家に相談することで、効率的に体制整備を進めることも可能です。
- 構築に携わる社員の負担が大きくなりすぎる
- 活動内容の設計方法がわからない
- そもそも自社にCSIRTが必要かどうかの判断が難しい
支援サービスを選ぶ際のポイント
支援サービスを選ぶ際は、自社の規模・予算・現状の課題に合わせた提案ができるかどうかを確認することが重要です。構築だけでなく、運用開始後のトレーニングやフォローアップまで対応しているかどうかも、選定の判断軸になります。
また、専任のコンサルタントが担当するかどうかも確認しておくと安心です。窓口が都度変わるサービスでは、自社の状況を一から説明し直す手間が生じることがあります。
支援サービスを選ぶ際は、自社の規模・予算・現状の課題に合わせた提案ができるかどうかを確認することが重要です。構築だけでなく、運用開始後のトレーニングやフォローアップまで対応しているかどうかも、選定の判断軸になります。
また、専任のコンサルタントが担当するかどうかも確認しておくと安心です。窓口が都度変わるサービスでは、自社の状況を一から説明し直す手間が生じることがあります。
【マキナレコードのCSIRT構築支援について】
マキナレコードでは、CSIRT構築・体制整備の実務支援を提供しています。現状把握・体制設計・対応フローの策定・従業員教育まで一貫して対応可能です。専任のセキュリティ専門コンサルタントが担当するため、自社の状況を都度説明し直す手間がありません。具体的な支援内容や導入スケジュールについてはお問い合わせください。
マキナレコードでは、CSIRT構築・体制整備の実務支援を提供しています。現状把握・体制設計・対応フローの策定・従業員教育まで一貫して対応可能です。専任のセキュリティ専門コンサルタントが担当するため、自社の状況を都度説明し直す手間がありません。具体的な支援内容や導入スケジュールについてはお問い合わせください。
よくある質問
CSIRTの導入・構築を検討する際によく寄せられる質問をまとめました。
CSIRTとは何の略ですか
CSIRTは「Computer Security Incident Response Team」の略称です。
日本語では「コンピューターセキュリティインシデント対応チーム」と訳されます。
CSIRTはなんと読みますか
CSIRTは「シーサート」と読みます。
CSIRTとSOCの違いは何ですか
CSIRTはインシデント発生後の対応に重点を置く組織であるのに対し、SOCはインシデントの検知・監視に重点を置く組織です。役割・求められるスキル・組織形態の点で異なります。
PSIRTとCSIRTの違いは何ですか
CSIRTが組織全体のセキュリティインシデントを対象とするのに対し、PSIRTは自社製品・サービスの脆弱性対応に特化したチームです。
製品を外部提供しているメーカーやソフトウェアベンダーに設置されることが多く、CSIRTと並行して機能するケースもあります。
CSIRTは何人で構成しますか
CSIRTの人員規模は組織の規模や活動内容によって異なり、明確な基準はありません。
小規模な組織では兼任メンバーで構成するバーチャル型から始め、段階的に体制を整えていくケースも多く見られます。
小規模な企業でもCSIRTは必要ですか
規模に関わらず、インシデントへの対応体制を整えることは重要です。
小規模な企業の場合、専任チームの設置が難しければ、まず対応フローの策定や社内の連絡窓口の設定など、できる範囲から始めることが現実的な選択肢です。
構築にどれくらいの期間と費用がかかりますか
構築期間や費用は、組織の規模・現状のセキュリティ体制・外部支援の有無によって大きく異なります。
外部の支援サービスを活用する場合は、自社の状況を共有したうえで見積もりを取ることが確実です。
まとめ:サイバー攻撃が高度化する今、CSIRTの整備を始めよう
CSIRTは、セキュリティインシデントの対応を専門に担うチームです。平常時の情報収集・体制整備から、インシデント発生時の初動対応・復旧・再発防止まで、組織のセキュリティを支える重要な役割を果たします。
サイバー攻撃の手口が高度化する現在、インシデントの発生を前提とした体制を整えることは、業種・規模を問わずすべての組織に求められています。まずは自社の現状を把握し、できる範囲から体制構築を進めることが最初の一歩です。
CSIRT構築の進め方に迷う場合や、どこから手をつければいいかわからない場合は、専門家への相談も選択肢のひとつです。
【マキナレコードのCSIRT構築支援について】
マキナレコードでは、企業の体制に沿ったCSIRT構築・機能強化の目標設定から、必須機能の実装支援、運用トレーニングまで一貫して支援しています。どこから始めればいいかわからない場合も、まずはお気軽にご相談ください。
マキナレコードでは、企業の体制に沿ったCSIRT構築・機能強化の目標設定から、必須機能の実装支援、運用トレーニングまで一貫して支援しています。どこから始めればいいかわからない場合も、まずはお気軽にご相談ください。
Writer
codebook 編集部
著者
株式会社マキナレコードが運営するセキュリティメディア「codebook」の編集部です。マキナレコードでは、「安心・安全な社会を実現するために、世界中の叡智を集め発信し、訴求していく」ことをミッションとして掲げています。本サイトにおいてもこのミッションを達成すべく、サイバーインテリジェンスや情報セキュリティに関する多様な情報を発信しています。
