CSIRTしーさーと

CSIRT（Computer Security Incident Response Team、シーサート）は、情報じょうほうセキュリティのインシデント（事故じこ）が起おきたときに対応たいおうする専門せんもんチームです。発生はっせいしてからの初動しょどう・封ふうじ込こめ・復旧ふっきゅうを担になう「消防しょうぼう隊たい」のような存在そんざいで、平時へいじから訓練くんれんや情報じょうほう共有きょうゆうを行おこないます。

担当たんとう工程こうてい	内容ないよう
検知けんち・受付うけつけ	不審ふしんな事象じしょうの報告ほうこくを受うけ事故じこか判断はんだんする
分析ぶんせき	被害ひがい範囲はんい・原因げんいんを調しらべる
封ふうじ込こめ・復旧ふっきゅう	拡大かくだいを止とめ、システムを元もとに戻もどす
教訓きょうくん抽出ちゅうしゅつ	再発さいはつ防止ぼうし策さくをまとめ次じに活いかす

たとえば社内しゃないの PC がマルウェアに感染かんせんした連絡れんらくを受うけると、CSIRT が端末たんまつを隔離かくりし、被害ひがい範囲はんいを調しらべ、関係かんけい部署ぶしょや SOC と連携れんけいして復旧ふっきゅうを進すすめます。日本にっぽん全体ぜんたいの窓口まどぐちとしては JPCERT/CC があります。

試験しけんでは CSIRT は「インシデント発生はっせい時じの対応たいおうを担になう組織そしき」、SOC は「24時間じかん体制たいせいで監視かんし・検知けんちを担になう組織そしき」と役割やくわりを対比たいひして問とわれます。CSIRT＝事後じご対応たいおうの専門せんもんチーム、と押おさえましょう。