sg sg-security-management incident_management csirt it_security_operations
まず結論
- CSIRTの種類は、「どこで発生したインシデントを対象にするか」というサービス対象で分類できます。
- SG試験では、組織内CSIRT、国際連携CSIRT、コーディネーションセンター、分析センター、ベンダーチーム、インシデントレスポンスプロバイダの違いを切り分けることが重要です。
CSIRTは、単に「インシデント対応チーム」という意味で覚えるだけでは不十分です。
選択肢では、誰に対してサービスを提供するのか、何を中心に担当するのかで判断します。
直感的な説明
CSIRTは、火災対応にたとえると分かりやすいです。
同じ「火災対応」でも、役割は一つではありません。
- 自社ビルの火災に対応する人
- 地域全体の消防機関と連携する人
- 複数の関係者を調整する人
- 火災原因を分析する人
- 製品の欠陥を直すメーカー
- 外部から専門対応を請け負う業者
CSIRTも同じです。
どれもインシデント対応に関係しますが、対象と役割が違います。
そのため、SG試験では「CSIRT=自社内の部署」と決めつけると危険です。
問題文が聞いているのは、CSIRTという言葉そのものではなく、どの種類のCSIRTに当たるかです。
定義・仕組み
JPCERT/CCのCSIRTガイドでは、CSIRTの機能をサービス対象によって分類しています。
公式資料は、JPCERT/CC CSIRTマテリアル や CSIRTガイド で確認できます。
CSIRTの主な6分類は、次のとおりです。
| 種類 | 主な役割 | サービス対象 |
|---|---|---|
| 組織内CSIRT | 自組織のインシデント対応を行う | 自組織、グループ会社など |
| 国際連携CSIRT | 国や地域を代表して海外CSIRTと連携する | 国、地域 |
| コーディネーションセンター | 複数のCSIRT間で情報連携・調整を行う | 他のCSIRT、関係組織 |
| 分析センター | マルウェア解析、攻撃傾向分析、注意喚起を行う | 関係組織、国、地域など |
| ベンダーチーム | 自社製品の脆弱性対応やパッチ提供を行う | 自社製品の利用者 |
| インシデントレスポンスプロバイダ | CSIRT機能の一部または全部を有償で提供する | 顧客 |
この分類で一番大切なのは、サービス対象です。
サービス対象とは、簡単に言うと「誰のために対応するのか」「どこまでを活動範囲にするのか」という考え方です。
例えば、同じマルウェア感染でも、次のように担当が変わります。
- 自社の端末感染に対応する → 組織内CSIRT
- 感染情報を分析して注意喚起する → 分析センター
- 複数の組織にまたがる対応を調整する → コーディネーションセンター
- 自社製品の脆弱性を修正する → ベンダーチーム
- 顧客企業から依頼を受けて対応する → インシデントレスポンスプロバイダ
つまり、CSIRTの種類は「技術の違い」ではなく、立場と対象の違いで整理すると判断しやすくなります。
どんな場面で使う?
CSIRTの種類の知識は、インシデント対応の役割分担を判断する場面で使います。
SG試験では、次のような聞かれ方をすることがあります。
- ある活動内容とサービス対象の組合せとして正しいものはどれか
- 自社製品の脆弱性対応を行うCSIRTはどれか
- 複数のCSIRT間で情報連携や調整を行うものはどれか
- 顧客に有償でインシデント対応サービスを提供するものはどれか
判断するときは、最初に「誰のための対応か」を見ます。
| 判断したいポイント | 選ぶべき種類 |
|---|---|
| 自社内のインシデント対応 | 組織内CSIRT |
| 国や地域の代表窓口 | 国際連携CSIRT |
| CSIRT間の調整 | コーディネーションセンター |
| 攻撃傾向やマルウェアの分析 | 分析センター |
| 自社製品の脆弱性対応 | ベンダーチーム |
| 顧客向けの有償対応サービス | インシデントレスポンスプロバイダ |
特にSG試験では、活動内容だけでなく、サービス対象との組合せで問われることがあります。
たとえば「分析を行う」という活動だけを見ると、組織内CSIRTでも行う場合があります。
しかし、問題文に「マルウェア解析、攻撃の痕跡分析、注意喚起」などが中心に書かれていれば、分析センターが候補になります。
よくある誤解・混同
CSIRTの種類でよくある誤解は、すべてを「組織内CSIRT」と考えてしまうことです。
組織内CSIRTとコーディネーションセンターの違い
- 組織内CSIRT:自組織のインシデントに対応する
- コーディネーションセンター:他のCSIRTとの情報連携や調整を行う
選択肢に「CSIRT間の情報連携」「調整」「グループ企業間の連携」とあれば、コーディネーションセンターを疑います。
分析センターとSOCの違い
- 分析センター:インシデント傾向、マルウェア、攻撃痕跡などを分析する
- SOC:ログやアラートを監視し、検知・初動分析を行う
分析センターはCSIRTの分類の一つとして出題されます。
SOCは監視運用の組織として出題されることが多く、CSIRTの6分類そのものではありません。
ベンダーチームと組織内CSIRTの違い
- 組織内CSIRT:自社の業務システムや社内インシデントに対応する
- ベンダーチーム:自社製品の脆弱性に対応し、パッチや注意喚起を行う
「自社製品」「利用者」「パッチ作成」「脆弱性対応」が出たら、ベンダーチームを考えます。
インシデントレスポンスプロバイダと自社CSIRTの違い
- 自社CSIRT:自組織のために活動する
- インシデントレスポンスプロバイダ:顧客から依頼を受けて有償で対応する
「顧客」「有償」「請け負う」という表現があれば、インシデントレスポンスプロバイダです。
SG試験では、選択肢に似た言葉が並びます。
そのときは、活動内容だけでなく、対象が誰かを必ず確認しましょう。
まとめ(試験直前用)
- CSIRTの種類は、サービス対象=誰のために対応するかで切り分けます。
- 自社対応なら 組織内CSIRT、国や地域の代表窓口なら 国際連携CSIRT です。
- CSIRT間の調整なら コーディネーションセンター、解析や注意喚起なら 分析センター です。
- 自社製品の脆弱性対応なら ベンダーチーム、顧客への有償対応なら インシデントレスポンスプロバイダ です。
- SG試験では、「活動」と「サービス対象」の組合せが正しいかを確認します。
🔗 関連記事
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】