CSIRTとは

CSIRTとはComputer Security Incident Response Teamの略で、一般的には「シーサート」と読みます（「シーエスアイアールティ」と読む場合もあり）。セキュリティインシデントへの対応を専門に行う組織やチームを指します。

なおセキュリティインシデントとは、セキュリティに関する問題や攻撃、侵害、脆弱性など、情報セキュリティ全体に影響を及ぼす出来事の総称です。

CSIRTの主な役割は、セキュリティインシデントに対応し、被害の最小化と回復を支援することです。主に以下の活動が含まれます。

・検出と監視
異常なアクティビティや攻撃を検出し、ネットワークやシステムにおける脅威を識別します。
・対応と復旧
インシデントが発生した際には迅速に対応し、システムの被害を最小限に抑えて正常な運用へと復旧させます。
・情報共有
インシデントの情報を関係者や組織と共有し、他の組織のセキュリティ対応方針や具体的な手順策定を支援します。
・調査と分析
インシデントの原因や影響を分析し、将来のインシデントの予防策を検討します。

CSIRTとSOC（Security Operation Center）は、どちらもセキュリティ関連の活動を行う組織ですが、異なる役割と観点をもっています。組織により形態はさまざまですが、大きく分ければCSIRTは「非常時の対応」、SOCは「平時からの監視」を担います。

CSIRTは緊急事態に対応するためのチームであり、セキュリティインシデントの発生時に迅速な対応が求められます。主業務であるセキュリティインシデント対応のほか、インシデントの検出、対応、復旧、情報共有、対応策の策定、さらにインシデントが企業へ与える影響の調査をふまえたリスク評価なども行います。

一方SOCは、Security Operation Centerの略称で、「ソック」と読みます。SOCは、サイバー攻撃など、企業の情報システムに対する不審なアクティビティの検知や脅威の早期発見、分析などを担当する専門の部署またはチームを指します。セキュリティに関する日常的な運用や監視を担当し、セキュリティインシデントの予防や早期検出を支援します。組織によって業務区分が異なることもありますが、CSIRTとは相互に連携して組織のセキュリティを強化する立場となります。