sg security-management incident-response csirt
CSIRTマテリアル
まず結論
CSIRTマテリアルは、組織内でインシデント対応を行う体制である CSIRT の構築・運用を支援するためのガイドラインです。
SG試験では、細かい構成を暗記するよりも、
「組織的なインシデント対応体制を作る・運用するための資料」
と押さえるのが大切です。
作成元としては、JPCERT/CC と結び付けて覚えます。
直感的な説明
CSIRTマテリアルは、簡単にいうと、
会社の中に“インシデント対応チーム”を作るための手引き
です。
例えば、標的型攻撃、マルウェア感染、情報漏えいなどが起きたとき、 その場の思いつきで対応すると、連絡が遅れたり、証拠を消してしまったりする可能性があります。
そのため、あらかじめ
- 誰が対応するのか
- どこへ連絡するのか
- どのような体制で運用するのか
- どんな情報を集めるのか
を整理しておく必要があります。
このような 組織的な対応の土台作り を支援するのが、CSIRTマテリアルです。
定義・仕組み
CSIRTマテリアルは、組織内CSIRTの構築を支援する目的で作成されたガイドラインです。
CSIRTとは、Computer Security Incident Response Team の略で、 セキュリティインシデントに対応するための組織・チームを指します。
CSIRTマテリアルでは、主に次のような観点が扱われます。
- CSIRTを作るための考え方
- 構築フェーズで検討する内容
- 運用フェーズで必要になる活動
- インシデント対応に必要な情報やノウハウ
ポイントは、単なる技術マニュアルではなく、組織としてインシデントに対応する体制づくりに重点があることです。
どんな場面で使う?
CSIRTマテリアルは、次のような場面で使われます。
組織内CSIRTを新しく作るとき
まだインシデント対応の専門チームがない組織で、 対応体制を整えるときに参考になります。
既存の対応体制を見直すとき
すでにセキュリティ担当者がいても、 役割分担や連絡体制があいまいな場合があります。
そのようなときに、CSIRTとしての機能を整理するために使えます。
インシデント対応を属人化させたくないとき
特定の担当者だけが対応方法を知っている状態は危険です。
CSIRTマテリアルを参考にすることで、 組織として継続的に対応できる体制を作りやすくなります。
よくある誤解・混同
誤解1:CSIRTマテリアルは、ISMS認証のための文書である
これは違います。
ISMSに関係するガイドとしては、ISMSユーザーズガイドがあります。
CSIRTマテリアルは、ISMS認証そのものではなく、 インシデント対応体制であるCSIRTの構築・運用に関する資料です。
誤解2:証拠保全の手順をまとめたガイドラインである
これも違います。
証拠保全の手続きに関するものは、証拠保全ガイドラインです。
CSIRTマテリアルは、証拠保全だけではなく、 組織内でインシデントに対応する体制全体を扱います。
誤解3:内部不正を防止するためのガイドラインである
内部不正への対策に関するものは、組織における内部不正防止ガイドラインです。
CSIRTマテリアルは、内部不正だけに限定されません。
マルウェア感染、サイバー攻撃、情報漏えいなどを含む、 セキュリティインシデント全般への対応体制がテーマです。
試験での切り分けポイント
SG試験では、名称が似たガイドラインを混同しないことが大切です。
| 用語 | 見分けるポイント |
|---|---|
| CSIRTマテリアル | 組織内CSIRTの構築・運用を支援 |
| ISMSユーザーズガイド | ISMS認証基準の要求事項の意味を説明 |
| 証拠保全ガイドライン | 電磁的証拠の保全手続き |
| 組織における内部不正防止ガイドライン | 内部不正の防止・早期発見・拡大防止 |
特に、問題文に
組織的なインシデント対応体制
と出てきたら、CSIRTマテリアルを選ぶ可能性が高いです。
まとめ(試験直前用)
CSIRTマテリアルは、
- CSIRTの構築・運用を支援する資料
- 組織的なインシデント対応体制がキーワード
- 作成元はJPCERT/CC
と押さえましょう。
試験では、
CSIRT = インシデント対応チーム
CSIRTマテリアル = その体制づくりを支援するガイドライン
と考えると、他のガイドラインと切り分けやすくなります。
公式リンク
より詳しく確認したい場合は、以下の公式情報も参考になります。