最終更新日:2026年5月20日
sg sg-security-management
まず結論
- CSIRTは、セキュリティインシデントに対応する専門チームの総称である。
- 組織内だけでなく、外部支援・調整など複数の種類がある。
- SG試験では「社内対応(CSIRT)か、外部支援(JPCERT/CCなど)か」で切る。
直感的な説明
会社でトラブルが起きたとき、
現場で対応する専門チームが必要ですよね。
CSIRTはまさにそれで、
セキュリティ事故に対応する“専門チームの総称”です。
ただしポイントはここ👇
👉 CSIRTは1種類じゃない
- 社内で対応するチーム
- 国や業界をまたいで連携するチーム
- 外部から支援するチーム
など、役割ごとに分かれています。
👉 イメージ:
CSIRT=消防隊(ただし、現場隊・指令センター・支援隊などがある)
定義・仕組み
CSIRT(Computer Security Incident Response Team)は、
- インシデントの
- 検知
- 分析
- 対応
- 復旧
を行うチームや機能の総称です。
基本の役割(共通)
- インシデントの検知
- 影響範囲の調査
- 被害拡大の防止
- 原因分析と再発防止
CSIRTの分類(ここが試験ポイント)
主な活動範囲によって、CSIRTは次のように分かれます。
① 組織内CSIRT
- 自社のシステム・従業員を対象
- いわゆる「社内対応チーム」
👉 SG試験で基本的に問われるのはこれ
② 国際連携CSIRT
- 国や地域単位で活動
- 複数組織の調整を行う
③ コーディネーションセンター
- 他のCSIRT同士の調整役
- 情報共有・連携支援
👉 例:JPCERT/CC
④ 分析センター
- インシデント情報の分析・研究
- 脅威情報の提供
⑤ ベンダーチーム
- 自社製品の利用者を支援
- 脆弱性対応など
⑥ インシデントレスポンスプロバイダー
- 契約した顧客に対して対応支援
- 外部委託型の対応チーム
重要ポイント
- CSIRT=組織内だけではない(総称)
- ただし試験では
👉 「組織内CSIRT」が基本
どんな場面で使う?
使う場面(正しい理解)
- 自社でインシデントが発生したとき
- 被害拡大を防ぐための初動対応
- 原因調査・再発防止
使うと誤解しやすい場面
- ❌ 外部の相談窓口だけ(それはコーディネーション系CSIRT)
- ❌ 経営判断を行う組織(それはISMSや経営層)
よくある誤解・混同
① JPCERT/CCとの違い
- CSIRT(組織内):自社の対応を行う
- JPCERT/CC:外部から支援・調整するCSIRT
👉 JPCERT/CCは
「コーディネーションセンター型CSIRT」
👉 SG試験ではここが超重要
② SOCとの違い
- SOC:監視・検知が中心
- CSIRT:対応・復旧まで行う
👉 「対応するか?」で切る
③ ISMSとの違い
- ISMS:管理の仕組み
- CSIRT:実働部隊
👉 「ルール」か「現場」か
確認問題(SG試験対策)
次のうち、組織内CSIRTの役割として最も適切なものはどれか。
- ア. 自社で発生したセキュリティインシデントについて、検知後の調査・対応・復旧を行う。
- イ. 暗号アルゴリズムの安全性を評価し、電子政府向けの推奨暗号リストを作成する。
- ウ. 事業継続のための経営方針を定め、情報セキュリティ基本方針として社外に宣言する。
- エ. Web通信を常時暗号化し、利用者とサーバ間の通信内容を保護する。
▶ クリックして答えと解説を見る(ここを開く)
正解:ア
解説
- ア:正解です。組織内CSIRTは自社のインシデント対応を担う実働チームです。
- イ:CRYPTRECの役割です。暗号の評価であり、事故対応ではありません。
- ウ:情報セキュリティ基本方針や経営層の役割に近い説明です。
- エ:HTTPSやTLSによる通信保護の説明です。
👉 判断ポイント
CSIRTは「インシデント発生後に、調査・対応・復旧まで動くチーム」と押さえます。
まとめ(試験直前用)
- CSIRT=インシデント対応チームの総称
- 基本は「組織内CSIRT=社内対応チーム」
- 種類あり
- 組織内
- 調整(JPCERT/CC)
- 分析・ベンダなど
- 選択肢の切り方
- 「外部支援」→JPCERT/CC
- 「監視だけ」→SOC
- 「対応・復旧」→CSIRT
👉 「誰のために動くか(自社か外部か)」で切る