CSIRT(Computer Security Incident Response Team、シーサート)とは、セキュリティインシデントに対応する組織のことです。インシデント発生時以外の平時の業務として、パッチ適用などの脆弱性対応や、事象分析、組織への普及啓発や注意喚起などを行っています。
セキュリティ対応組織には、CSIRTの他にSOCがあります。一般的な役割分担は以下のようになっていますが、セキュリティ意識の高まりから、両者の役割は多様化してきています。例えば、CSIRT内部にSOCチームを配置する、分析力向上を目的としてCSIRT自身も分析に参加するといったケースがあります。
CSIRTとSOCの主な役割
- SOCは平時、常にシステムを監視し、インシデントが発生するとCSIRTに検知内容を報告
- CSIRTはインシデント対応を行い原因の深堀分析をSOCに依頼