sg sg-security-management incident_management csirt sg-security-measures
まず結論
- PSIRTは、自社が開発・提供する製品やサービスのセキュリティ問題に対応するチームです。
- SG試験では、PSIRTを「自社内のインシデント対応を行う組織内CSIRT」や「監視を行うSOC」と混同しないことが大切です。
PSIRTは、製品を利用している顧客や利用者を守るために、脆弱性情報を受け付け、影響を確認し、修正や注意喚起につなげます。
選択肢では、自社の業務システムを守る話なのか、自社製品の脆弱性に対応する話なのかを切り分けます。
直感的な説明
PSIRTは、製品を作っている会社の「製品セキュリティ対応チーム」と考えると分かりやすいです。
例えば、自社が販売しているソフトウェアに重大な脆弱性が見つかったとします。
このとき、必要になるのは単に社内PCを守ることではありません。
必要になる対応は、次のようなものです。
- 脆弱性の報告を受け付ける
- その脆弱性が本当に自社製品に影響するか確認する
- 影響範囲や深刻度を整理する
- 開発部門と連携して修正する
- パッチや回避策を提供する
- 利用者へ注意喚起する
このように、PSIRTは「会社の中を守るチーム」というより、会社が提供している製品・サービスの安全性に責任を持つチームです。
定義・仕組み
PSIRTは、Product Security Incident Response Team の略です。
JPCERT/CCのCSIRTガイドでは、PSIRTは「自組織が開発・提供する製品やサービス等のセキュリティ問題に対処するチーム」と説明されています。
公式資料は、JPCERT/CC CSIRTガイド や、IPAの 脆弱性対処に向けた製品開発者向けガイド で確認できます。
PSIRTの基本的な流れは、次のように整理できます。
| 流れ | 内容 |
|---|---|
| 受付 | 外部研究者、利用者、取引先などから脆弱性情報を受け付ける |
| 確認 | 自社製品・サービスへの影響を調べる |
| 評価 | 深刻度、影響範囲、悪用可能性などを整理する |
| 調整 | 開発部門、品質保証部門、広報、法務などと連携する |
| 対応 | パッチ、設定変更、回避策、注意喚起などを提供する |
| 公開 | 必要に応じて脆弱性情報や対策情報を公表する |
ここで重要なのは、PSIRTの対象が「自社の社内システム」ではなく、自社が外部に提供している製品やサービスである点です。
たとえば、社内PCがマルウェア感染した場合は、組織内CSIRTや情報システム部門が中心になります。
一方、自社が販売しているソフトウェアに脆弱性があり、利用者に影響する場合は、PSIRTが中心になります。
どんな場面で使う?
PSIRTは、製品やサービスに関する脆弱性対応で使われます。
具体的には、次のような場面です。
- 自社製ソフトウェアに脆弱性が発見された
- 外部の研究者から脆弱性報告を受けた
- 利用者から製品起因のセキュリティ事故の連絡があった
- 開発部門と連携して修正プログラムを作成する必要がある
- 製品利用者へ注意喚起や回避策を案内する必要がある
SG試験では、選択肢に次のような言葉があればPSIRTを疑います。
- 自社製品
- 製品利用者
- 脆弱性報告
- パッチ作成
- 回避策の案内
- 製品セキュリティ
逆に、次のような説明ならPSIRTとは限りません。
- 社内ネットワークの監視を行う
- ログを常時監視してアラートを検知する
- 自社内の情報漏えいインシデントに対応する
- 警察として攻撃者を捜査する
PSIRTは、監視専門のSOCでも、犯罪捜査機関でもありません。
あくまで、製品・サービスの脆弱性に対する組織的な対応体制として整理します。
よくある誤解・混同
PSIRTは、CSIRTやSOCと混同しやすい用語です。
SG試験では、英字略語だけで判断せず、対象と役割を見ます。
| 混同しやすい用語 | 主な役割 | PSIRTとの違い |
|---|---|---|
| 組織内CSIRT | 自組織のインシデント対応 | PSIRTは自社製品・サービスの脆弱性対応が中心 |
| SOC | ログ監視、アラート検知、初動分析 | PSIRTは監視ではなく製品脆弱性対応が中心 |
| JPCERT/CC | 国内外の関係者間の調整・情報共有 | PSIRTは製品提供企業側の対応チーム |
| 開発部門 | 製品を設計・実装する | PSIRTは脆弱性対応を調整し、開発部門と連携する |
| ヘルプデスク | 利用者からの一般的な問い合わせ対応 | PSIRTはセキュリティ問題・脆弱性対応が中心 |
特に重要なのは、PSIRTと組織内CSIRTの違いです。
- 組織内CSIRT:自社の業務や社内システムを守る
- PSIRT:自社が提供する製品・サービスの利用者を守る
例えば、社内ファイルサーバがランサムウェアに感染した場合は、組織内CSIRTの文脈です。
一方、自社製ソフトウェアに脆弱性があり、顧客環境で悪用されるおそれがある場合は、PSIRTの文脈です。
SG試験では、「脆弱性」という言葉だけでPSIRTと決めつけないことも大切です。
その脆弱性が 自社製品の脆弱性 なのか、自社が利用しているシステムの脆弱性 なのかを確認します。
まとめ(試験直前用)
- PSIRTは、自社が開発・提供する製品やサービスのセキュリティ問題に対応するチームです。
- キーワードは、自社製品、製品利用者、脆弱性報告、パッチ、回避策、注意喚起です。
- 自社内のインシデント対応なら組織内CSIRT、監視・検知中心ならSOCと切り分けます。
- PSIRTは開発部門そのものではなく、開発部門などと連携して脆弱性対応を進める体制です。
- SG試験では、「何を守るのか」が社内システムか製品利用者かを確認します。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】