インシデント対応におけるシーサートの活動とは？：インシデントと戦うCSIRT（1/2 ページ）

企業などで発生した情報セキュリティ事故（インシデント）に対処するのが「シーサート」という枠組みだ。今回はシーサートが果たす役割をみていこう。

[ITmedia]

本記事の関連コンテンツは、オンライン・ムックPlus「セキュリティ事故に備えるシーサート構築術」でご覧になれます。

　前回は、企業や組織が発生したインシデントに対応する枠組みとして「CSIRT」（シーサート）の必要性を紹介した。今回は一般的な知識として、シーサートにどのようなものがあるかを解説しよう。

　シーサートとして有名なものには、世界初のシーサートである米「CERT/CC」や日本で最初のシーサートである「JPCERT/CC」がある。これらのシーサートが「機関」という形態であることから、シーサートという存在が専門的な組織であると認識されがちだが、これらはあくまでシーサートの枠組みの1つに過ぎないのである。

　シーサートには大きく分けて以下の6つのタイプが存在する。

• 組織内シーサート（Internal CSIRT）：

自組織や顧客に関係したインシデントに対応する

• 国際連携シーサート（National CSIRT）：

国や地域を代表する形で、そこに関連したインシデントについての問い合わせ窓口として活動する。JPCERT/CCが代表例

• コーディネーションセンター（Coordination Center）：

協力関係にあるほかのシーサートとの情報連携や調整を行う。CERT/CCやJPCERT/CCが代表例。またグループ企業間の連携を担当するシーサートも存在する

• 分析センター（Analysis Center）：

インシデントの傾向分析やマルウェア解析、攻撃の痕跡を分析し、必要に応じて注意喚起を行う。シーサートの一機能として設けられる場合も多い

• ベンダチーム（Vendor Team）：

自社製品の脆弱性に対応してパッチを作成したり、注意喚起をしたりする。マイクロソフトのセキュリティチームが代表例

• インシデントレスポンスプロバイダ（Incident Response Provider）：

組織内シーサートの機能の一部を有償で請け負うサービスプロバイダー。いわゆるセキュリティベンダーやSOC（セキュリティオペレーションセンター）事業者を指す

　シーサートによっては、上記の分類のうち複数の機能を有しているものもある。例えば、JPCERT/CCは「国際連携シーサート」「コーディネーションセンター」「分析センター」の3つの機能を持つ。本記事では主に「組織内シーサート」に絞って解説しよう。

組織内シーサートの役割

　シーサートとは、必ずしも部署である必要はなく、インシデントに対応するために必要な機能（サービス、情報管理など）を設けるための枠組みである。この点を的確に表わす表現として、シーサートではなく、「シーサーク」（CSIRC＝Computer Security Incident Response Capability）という言葉も存在する。いずれにしても、企業に求められるのは何らかの形でインシデントに対応する機能を設けるということである。

　そのような機能としてのシーサートの実装には、大きく分けて以下の3つの形態がある。

1.独立部署

　インシデントに対応するために設置された専門部署である。

2.部署間の横断

　ほかの業務と兼務したメンバーによって構成される。イメージとしては「村の消防団」に近い。

3.個人

　小規模な企業に数多くみられる形態で、個人でシーサートの機能を実行する。

　組織内シーサートには、部署間を横断した形態が多くみられる。そのほかにも、インシデント対応の方針決定などを自社のシーサートで行い、例えば原因分析などの技術的かつ実務的な部分は、すべて外部の専門業者に委託したり、シーサートに含まれないIT関連部署（情報システム部など）が担当したりすることもある。このように、シーサートにはさまざまな実装形態がある。