企業や団体などにおける情報セキュリティの問題(インシデント)を監視し、対処する組織
CSIRT (英:Computer Security Incident Response Team、読み:シーサート)は、コンピューターやネットワークに関する情報セキュリティ上の問題(インシデント)に対応する組織。設置する企業や団体も増えている。インシデントが発生した場合には窓口となって外部組織との連携を図り、調査や原因究明、対策の立案などを行う。この種の組織は、1988年に米カーネギーメロン大学内にCERT/CCを設置したことから広まっていったとされている。
CSIRTの主な役割は、インシデント発生時に、深刻度と緊急性などから対応の優先順位を決め、対応計画の策定し、解決のための支援を行うことである。ただし事後対応のみではなく、再発防止のための検討と報告、事故を未然に防ぐための予防措置、教育、監査、研究開発なども必要に応じて行う。
CSIRTを設置するメリットは、インシデントが発生、発見された場合にCSIRTに窓口を一本化することで連絡や情報共有がシンプルになる。また、コーディネーションセンター(Coordination Center:CC)のように複数のCSIRT間の連携を取る組織もあるので、情報共有をしながら効果的な対応策や解決策を協力しながら迅速に実行することも可能となる。例えばJPCERTコーディネーションセンターでは、日本国内におけるセキュリティインシデント調整などを担当し、脆弱性報告の受付、対応支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを行っている。
用途
CSIRTは、さまざまな組織や企業、団体で設置されている。
CSIRT(Computer Security Incident Response Team)
- CIRT(Cyber Incident Response Team)
- SIRT(Security Incident Response Team)
上記の3つはほぼ同義に使われ、インシデント対応を行う枠組み。なおCSIRTは一般名称だが、CERTは、CERT/CCの登録商標であり、勝手に利用できない。
国際連携CSIRT(National CSIRT)
国や地域を代表する形で、関連したインシデントについての窓口として活動する。おおむねCoordination Centerとしての機能がある。日本ではJPCERTコーディネーションセンターが活動している。
コーディネーションセンター(Coordination Center)
協力関係にある他のCSIRTとの情報連携・調整を行う。JPCERT/CCは日本での窓口となり、日本から発信されるインシデント情報を他のCSIRTに伝えたり、他国から受けた情報を公開する役割を担っている。