対象試験と出題頻度
CSIRT(シーサート)は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで出題される重要テーマです。
SOCとの違いや、インシデント対応における役割を正確に理解しておきましょう。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★☆
ランクA(重要)必ず覚えておくべき
用語の定義
CSIRT(Computer Security Incident Response Team:シーサート)とは、一言で言うと「組織内でセキュリティインシデントに対応する専門チーム」のことです。
イメージとしては、「会社の消防団」のようなものです。
火事(インシデント)が起きたら現場に駆けつけて消火活動を行い、被害を最小限に抑え、原因を調査して再発防止策を講じる。普段から訓練を行い、いざというときに備える。CSIRTは、情報セキュリティの世界でこうした役割を担う専門チームです。
情報処理試験を勉強していると、「CSIRTとSOCって何が違うの?」という疑問が浮かびがちです。結論から言うと、SOCが「監視・検知」を担当するのに対し、CSIRTは「対応・復旧」を担当します。両者は連携して動くことが多いですが、役割は明確に異なります。
📊 CSIRTの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Computer Security Incident Response Team |
| 読み方 | シーサート |
| 主な役割 | インシデント対応、被害最小化、原因調査、再発防止 |
| 活動タイミング | インシデント発生時(平常時は準備・訓練・情報収集) |
解説
CSIRTは、セキュリティインシデント(不正アクセス、マルウェア感染、情報漏えいなど)が発生した際に、迅速かつ適切に対応するための専門組織です。インシデントの被害を最小限に抑え、早期復旧を図り、再発を防止することが主な使命です。
CSIRTの主な役割
CSIRTの役割は、インシデント発生時の対応だけではありません。平常時の活動も含めて、以下のような幅広い役割を担います。
📊 CSIRTの主な役割
| タイミング | 活動 | 内容 |
|---|---|---|
| 平常時 | 情報収集・分析 | 脆弱性情報、脅威情報の収集と分析 |
| 教育・訓練 | インシデント対応訓練、社員へのセキュリティ啓発 | |
| 体制整備 | 対応手順書の整備、連絡体制の確立 | |
| インシデント発生時 | 検知・受付 | インシデント報告の受付、初期判断 |
| トリアージ | 優先度の判断、対応方針の決定 | |
| 対応・封じ込め | 被害拡大の防止、原因の特定と除去 | |
| 復旧・報告 | システム復旧、関係者への報告、再発防止策の策定 |
CSIRTとSOCの違い
試験で最も問われやすいのが、CSIRTとSOC(Security Operation Center)の違いです。どちらもセキュリティに関わる組織ですが、役割が明確に異なります。
📊 CSIRTとSOCの比較
| 項目 | CSIRT | SOC |
|---|---|---|
| 主な役割 | インシデント対応・復旧 | セキュリティ監視・検知 |
| 活動内容 | 被害最小化、原因調査、再発防止 | ログ監視、脅威検知、アラート発報 |
| 稼働形態 | インシデント発生時に本格稼働 | 24時間365日の常時監視 |
| 例え | 消防団(火事に対応) | 警備員(不審者を監視) |
覚え方としては、SOCが「見張り番」、CSIRTが「レスキュー隊」と考えるとわかりやすいです。SOCが異常を検知したらCSIRTに連絡し、CSIRTが対応に当たる、という連携関係にあります。
💡 試験対策のポイント
CSIRT:インシデント「対応」がキーワード。Response(対応)のRが入っている。
SOC:「監視」「検知」がキーワード。Operation(運用)のOが入っている。
どちらも「セキュリティ組織」という点では同じですが、役割が違うことを押さえておきましょう。
CSIRTの種類
CSIRTにはいくつかの種類があります。試験で細かく問われることは少ないですが、代表的なものを知っておくと理解が深まります。
📌 CSIRTの主な種類
組織内CSIRT:企業や官公庁など、特定の組織内に設置されるCSIRT
国家CSIRT:国レベルでインシデント対応を行うCSIRT(日本ではJPCERT/CCが該当)
コーディネーションセンター:複数のCSIRT間の連携・情報共有を行う組織
日本におけるCSIRT関連組織
日本では、JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)が国レベルのCSIRTとして活動しています。インシデント対応の支援、脆弱性情報の発信、国内外のCSIRTとの連携などを行っています。
また、日本シーサート協議会(NCA:Nippon CSIRT Association)という組織があり、国内の企業CSIRTが加盟して情報共有や連携を行っています。
試験ではここまで詳しく問われることは稀ですが、「JPCERT/CC」という名前は頻出なので覚えておきましょう。
⚠️ 実務でのポイント
近年、サイバー攻撃の高度化・巧妙化に伴い、CSIRTを設置する企業が増えています。特に大企業や重要インフラ企業では、CSIRTの設置が事実上の標準となっています。
ただし、試験では「CSIRTとは何か」「SOCとの違いは何か」という基本的な知識が問われるので、まずは定義と役割を正確に押さえることが重要です。
試験ではこう出る!
CSIRTは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで頻出です。以下のポイントを確実に押さえておきましょう。
【頻出キーワード】
- Computer Security Incident Response Team(読み:シーサート)
- セキュリティインシデントに対応する専門チーム
- 被害最小化、原因調査、再発防止が主な役割
- SOCは「監視・検知」、CSIRTは「対応・復旧」
- JPCERT/CC:日本の国家レベルのCSIRT
試験問題で「セキュリティインシデントが発生した際に対応を行う専門チーム」や「インシデントの被害最小化と再発防止を担当する組織」といった記述があれば、それは「CSIRT」に関する記述です。
📝 IPA試験での出題パターン
CSIRTの問題は、「CSIRTの役割として適切なものを選べ」「CSIRTとSOCの違いとして適切なものを選べ」といった形式が多いです。
「インシデント対応」というキーワードが出てきたらCSIRT、「監視・検知」というキーワードが出てきたらSOC、と判断すれば正解にたどり着けます。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. CSIRT(シーサート)に関する説明として、最も適切なものはどれでしょうか?
- A. 24時間365日体制でシステムやネットワークを監視し、セキュリティ上の脅威を検知する組織
- B. セキュリティインシデントが発生した際に対応を行い、被害の最小化と再発防止を担う専門チーム
- C. 組織の情報セキュリティポリシーを策定し、全社的なセキュリティ方針を決定する経営層の委員会
正解と解説を見る
正解:B
解説:
CSIRT(Computer Security Incident Response Team:シーサート)は、セキュリティインシデントが発生した際に対応を行う専門チームです。インシデントの被害を最小限に抑え、原因を調査し、再発防止策を講じることが主な役割です。平常時には、脅威情報の収集や対応手順の整備、訓練なども行います。
選択肢Aは「SOC(Security Operation Center)」の説明です。SOCは24時間体制でシステムを監視し、脅威を検知する役割を担います。選択肢Cは「情報セキュリティ委員会」などの説明であり、CSIRTとは異なる組織です。CSIRTは「対応(Response)」、SOCは「監視(Operation)」という違いを覚えておきましょう。
