Computer Security Incident Response Team (CSIRT)

CSIRTとは「Computer Security Incident Response Team」の略で、コンピュータ セキュリティに関するインシデントに対応するチームのことです。ここで言うインシデントには、不正アクセスや攻撃はもちろんのこと、攻撃の試み等の予兆も含まれています。

世界最初のCSIRTは、1988年に発生したモリスワーム（Morris Worm）によるインシデントの際に、米国カーネギーメロン大学内に設置された「CERT/CC（Computer Emergency Response Team/Coordination Center）」です。その後、世界各地にCERTが設置されましたが、CERTという表記はCERT/CCの登録商標であることから、一般名称としてCSIRTが使われるようになりました。日本では1996年に「JPCERT/CC」が発足し、その後数多くのCSIRTが設置されています。2002年4月には内閣官房情報セキュリティ対策推進室内に「NIRT（National Incident Response Team）」というCSIRTも設置されています。

CERT/CCによれば、CSIRTは以下の6種類に分類されます。

• 組織内CSIRT
  特定の組織内で発生したインシデントに対応します。
  
• 国際連携CSIRT
  国や地域を代表する形で、そこに関連したインシデントに関する問い合わせ窓口として活動します。日本ではJPCERT/CCがこれに該当します。
  
• コーディネーション センタ
  協力関係にある他のCSIRTとの情報連携や調整を行います。CERT/CCやJPCERT/CCがこれに当てはまります。またグループ企業間の調整を行うCSIRTもこれに含まれます。
  
• 分析センタ
  インシデントの傾向分析やマルウェア解析、攻撃の痕跡分析等を行い、必要に応じて注意喚起を実施します。
  
• ベンダ チーム
  自社製品の脆弱性に対応し、パッチ作成や注意喚起を行います。
  
• インシデント レスポンス プロバイダ
  組織内CSIRTの機能の一部を、有償で請け負うサービス プロバイダです。セキュリティ ベンダやSOC（Security Operation Center）事業者がこれに含まれます。