CSIRTとは
CSIRT(Computer Security Incident Response Team / シーサート)は、サイバーセキュリティインシデントに対応する専門チームです。インシデントの検知・分析・封じ込め・復旧・再発防止を担います。
大企業では専任チームを設置しますが、中小企業では兼任体制で運用することが現実的です。重要なのは「専任か兼任か」ではなく、「インシデント発生時に誰が何をするかが明確であること」です。
中小企業にCSIRTが必要な理由
- サプライチェーン攻撃の増加:大企業のサプライチェーンの一部として攻撃対象になる
- 取引先からの要求:「セキュリティ体制の整備」が取引条件に含まれるケースが増加
- 法的リスク:個人情報保護法改正により、漏洩時の報告義務が強化
- 初動の遅れ=被害拡大:体制がないと、インシデント発生時にパニックになり対応が後手に回る
最小構成の設計
3名体制の例
| 役割 | 担当者 | 主な責務 |
|---|---|---|
| CSIRT責任者 | 経営層(CIO / 管理部長) | 意思決定、経営層への報告、外部対応の承認 |
| 技術担当 | 情シス / ITインフラ担当 | 技術的な分析・封じ込め・復旧作業 |
| 連絡・記録担当 | 総務 / 法務 | 社内外の連絡、記録管理、法的対応 |
必要な文書
- CSIRT設置規程:チームの目的、権限、構成員
- インシデント対応手順書:検知→連絡→封じ込め→復旧→報告のフロー
- 緊急連絡網:24時間連絡可能な電話番号リスト
- 外部連絡先リスト:セキュリティベンダー、弁護士、個人情報保護委員会
インシデント対応フロー
| Phase | アクション | 担当 | 時間目安 |
|---|---|---|---|
| 1. 検知 | 異常の検知・報告(EDRアラート、従業員からの報告等) | 全従業員 | 即時 |
| 2. トリアージ | 重要度の判定(レベル1〜3の分類) | 技術担当 | 30分以内 |
| 3. 封じ込め | 被害拡大の防止(ネットワーク隔離、アカウント無効化) | 技術担当 | 1時間以内 |
| 4. 根絶 | マルウェアの駆除、脆弱性の修正 | 技術担当+外部ベンダー | 数時間〜数日 |
| 5. 復旧 | システムの復元、業務の再開 | 技術担当 | 数時間〜数日 |
| 6. 報告・改善 | ポストモーテム、再発防止策の策定・実施 | 全員 | 1〜2週間 |
外部SOC・ベンダーとの連携
中小企業が24時間監視を自前で行うのは現実的ではありません。外部SOC(Security Operation Center)との連携が有効です。
| サービス | 内容 | 費用目安 |
|---|---|---|
| MDR(Managed Detection & Response) | EDRの監視・分析・対応を外部委託 | 月額5〜15万円/50端末 |
| セキュリティ監視(SOC) | ファイアウォール・IDS/IPSのログ監視 | 月額10〜30万円 |
| インシデントレスポンス契約 | インシデント発生時の緊急対応を事前契約 | 年額50〜100万円(リテイナー) |
演習と継続的改善
- 机上演習(年2回):「ランサムウェアに感染した」等のシナリオで対応手順を確認
- 技術演習(年1回):実際にテスト環境でインシデント対応を実施
- 手順書の更新(四半期):演習の結果や最新の脅威情報を反映
まとめ
中小企業のCSIRTは3名の兼任体制でスタートできます。重要なのは「誰が何をするか」の明確化と、外部SOC/MDRサービスとの連携です。年2回の演習で手順を定着させましょう。
CSIRT運営に必要な文書テンプレート
| 文書 | 内容 | 更新頻度 |
|---|---|---|
| CSIRT設置規程 | 目的、権限、メンバー構成、活動範囲 | 年次 |
| インシデント対応手順書 | 検知→トリアージ→封じ込め→復旧の詳細手順 | 四半期 |
| 緊急連絡網 | CSIRT メンバー、経営層、外部ベンダー、警察 | 四半期 |
| インシデント報告テンプレート | 発生日時、影響範囲、対応状況、原因、再発防止策 | 必要時 |
| ポストモーテムテンプレート | インシデントの振り返り、タイムライン、教訓 | インシデント後 |