CSIRTとは!サイバーセキュリティのためには必要?基礎知識から徹底解説します!

皆様はCSIRTという単語を聞いた事はありますか?パソコンやインターネットを使用する上で、サイバー攻撃や不正アクセスなどの脅威は、切っても切り離せない問題です。そんな脅威に対して有効的なのが「CSIRT」の設置です。昨今注目されているサイバーセキュリティ。今回はそんなCSIRTに関して、基礎知識から徹底解説をしていきます!

 

CSIRTとは

 

 

概要

 

CSIRTは、「Computer Security Incident Response Team」という言葉の、英単語の頭文字をつないだ略語で、直訳するとコンピュータセキュリティ事件対応チームという意味になります。読み方としては、シーサート、または、シーエスアイアールティーと呼称されることが多いです。

また、一般的にはCSIRTという略語が用いられることが多いですが、「Cyber Incident Response Team」という言葉を略した、CIRTという略称も用いられることもありますので、参考情報として伝えておきます。

読み方が判明したところで続けて、CSIRTがどういうものか、直訳の内容と照らし合わせて説明させていただきます。簡単にまとめると、コンピュータセキュリティ(Computer Security)に関する事件や問題(Incident)の対応をする組織(Response Team)といった意味になります。

 

補足説明

 

直訳の内容だけでも、大まかなイメージは掴めたかもしれませんが、もう少し理解を深めるために少し補足をさせていただきます。

コンピュータセキュリティに関する事件や問題というのは、具体的な事例で言うと、サイバー攻撃情報漏洩不正アクセス等のことを指しています。ですので、上記で挙げたような問題の対応を行う、チーム・部署・組織・機能等のことを総称した呼称が、CSIRTとなります。

 

CSIRTの歴史

 

 

最初に設置されたのは1988年

 

上の概要説明の内容だけを見ると、IT関連の単語という点もあり、結構最近の話かと思われがちですが、CSIRTの歴史は意外と古いです。

1988年にアメリカで流行したマルウェア「モリスワーム」の対策を行うために、カーネギーメロン大学内でチームが結成され対策を行ったのが、CSIRTの起源と言われています。この頃からすでにマルウェアの脅威が存在していたのは少し驚きですね。

その活動をキッカケに世界各国でも同様の活動が行われるようになり、各国の事例に関する情報収集や共有を行うための組織「FIRST」が1990年に設立され、今に至る、といった経緯になっています。その流れはもちろん日本も例外ではなく、1996年に、「JPCERT/CC」という組織が発足され、2001年頃からCSIRTの普及活動を積極的に進めています。

 

主な組織例や担当業務

 

 

よく用いられる組織例は3種類

 

CSIRTの組織例としては、正式に決まった形というものは存在しません。ですが、よく用いられる形として、下記の3種類のパターンのいずれかの形が採用されることが多いので、そちらについても確認をしてみましょう。

 

独立した部署として実施

組織の内部で独立した部署を設立しCSIRTを設置する方法です。

 

複数の部署を横断して実施

組織の内部に存在する複数の部署から横断的にCSIRTを設置する方法です。

 

個人単位で実施

部署やチームといった形式に捕らわれず、個人単位で協力してCSIRTを設置する方法です。概要説明にて組織やチームという単語が多く出てきたので、意外に思われるかもしれませんが、個人単位で実施するというのも、主な方法の一つとして数えられます。

 

担当業務は大きく分けると6タイプ

 

 

CSIRTは担当する業務やターゲットによって、大きく6種類のタイプに分類することができますので、こちらも確認しておきましょう。

 

Internal CSIRT

自分の組織やその顧客に関するインシデントに対応する業務で、組織内シーサートとも呼ばれます。企業で行う一般的なCSIRTはここに分類されることが多いです。

 

National CSIRT

国や地域に関連したインシデントに対する問い合わせ等の業務が該当し、国際連携シーサートとも呼ばれます。JPCERT/CCもこちらに分類されます。

 

Coordination Center

多様なCSIRTやインシデント対応の連携や調整を行う業務になります。読み方はコーディネーションセンターで、上で挙げたJPCERT/CCやCERT/CCもこちらに分類されます。また、協力関係にあるグループや企業間の連携を行うこともあります。

 

Analysis Center

分析センターとも呼ばれ、インシデントの傾向やマルウェアの攻撃痕を分析したり、マルウェアの解析を行う、といった業務が該当します。必要に応じて、マルウェアの攻撃に対する注意喚起を行うのもこちらの業務です。

 

Vendor Team

自社で提供している製品の脆弱性に対応するためのパッチ作成や注意喚起等を行います。読み方はベンダーチームです。

 

Incident Response Provider

こちらの名称は、インシデントレスポンスプロバイダと読みます。セキュリティベンダーやセキュリティオペレーションセンターといった、組織内におけるCSIRT機能の一部を有償で請け負うプロバイダー業務のことを指します。

 

分類に関しては以上の説明となります。もしかしたら、察しのいい方は気付かれたかもしれませんが、上で記載してあるJPCERT/CCの様に、複数のタイプを受け持つことも珍しいことではありませんので、そちらも情報として覚えておきましょう。

 

Geekly Media ライター

クラウドマン

4+