CSIRTが今、企業に求められている理由
サイバー攻撃は件数・高度化ともに増加の一途をたどっている。IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2025」でも、ランサムウェアや標的型攻撃が引き続き上位を占めており、企業は「攻撃を完全に防ぐ」という発想から「攻撃を受けても迅速に対応・復旧する」というレジリエンス思考への転換が急務となっている。
こうした背景を受けて経済産業省は「サイバーセキュリティ経営ガイドライン Ver.3.0」において、経営者がCSIRT(Computer Security Incident Response Team)の整備を経営課題として取り組むことを明示した。さらに上場企業では有価証券報告書でのサイバーリスク開示が義務化され、インシデント対応体制の有無が投資家や取引先からの評価基準となっている。
本記事では、CSIRTの定義から種類・構築ステップ・費用・運用ポイントまでを実務視点で体系的に解説する。「何から始めればよいかわからない」という情報システム担当者やCISOの方に向けた実践的なガイドとして活用いただきたい。
CSIRTとは?定義・役割・SOCとの違い
CSIRTの定義
CSIRT(シーサート:Computer Security Incident Response Team)とは、サイバーセキュリティインシデントに対応するための専門チームである。インシデントが発生した際の初動対応・影響範囲の特定・原因分析・復旧支援・再発防止策の立案を担う。単なる「緊急連絡窓口」ではなく、事前の対策策定から事後の改善まで、インシデントライフサイクル全体を管理する組織機能と捉えるべきである。
日本ではJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)がナショナルCSIRTとして機能しており、企業CSIRTへの情報提供や連携支援を行っている。
CSIRTの主な役割
- インシデント検知・報告の一次窓口となる
- 被害状況の調査・トリアージ(優先度判定)を行う
- 対応手順(プレイブック)に従い初動対応を実施する
- 経営層・社内関係部門・顧客・監督官庁への報告・情報共有を行う
- 外部機関(JPCERT/CC・警察・業界ISAC)と連携する
- インシデント事後のフォレンジック調査・再発防止策を策定する
- 平常時の脅威インテリジェンス収集・訓練・啓発活動を行う
CSIRTとSOCの違い
CSIRTとSOC(Security Operation Center)は混同されがちだが、役割と機能が異なる。下表に整理する。
比較軸 | CSIRT | SOC |
|---|---|---|
主な目的 | インシデントへの対応・指揮・調整 | 脅威の監視・検知・分析 |
活動フェーズ | インシデント発生後(対応・収束・再発防止)+平常時の準備 | 常時(24時間365日の監視) |
業務の性格 | 非定常・判断・調整業務が中心 | 定常・監視・分析業務が中心 |
権限 | 全社横断的な対応指揮権限を持つ | 検知・通知が主体、対応権限は限定的 |
人材要件 | コミュニケーション・判断力・法的知識も必要 | ログ分析・マルウェア解析等の技術力 |
組織形態 | 委員会・プロジェクト型(兼任も多い) | 専任チーム・24時間シフト体制 |
アウトプット | インシデントレポート・改善提言・手順書 | アラート・インシデントチケット・日次レポート |
関係性の整理: SOCはCSIRTへのインシデント「発見・報告」の役割を担い、CSIRTはSOCからの報告を受けて「判断・対応指揮」を行う上位組織と捉えると理解しやすい。規模の小さい企業では両機能を一体化させたケースも多い。
CSIRTの種類
CSIRTには組織形態・対象範囲・運営主体によって複数の類型がある。自社の規模・リソース・セキュリティ成熟度に応じて選択することが重要だ。
1. 社内CSIRT(Internal CSIRT)
企業内部に専任または兼任のチームを設置する形態。社内のシステム・ビジネスプロセスを深く理解した人員が対応にあたるため、適切な判断が下しやすい。一方で、専門人材の確保・育成コスト、24時間対応体制の維持が課題となる。
- 適合する組織: 従業員500名以上・IT資産が多い・個人情報を大量に扱う
- メリット: 機密情報を外部に渡さずに対応できる、組織固有の知識を活用できる
- デメリット: 人材確保・育成コストが高い、属人化リスク
2. 外部委託型CSIRT(Outsourced CSIRT / MSSP)
セキュリティ専門会社にCSIRT機能の全部または一部を委託する形態。MSSPのサービスとして提供されることが多く、24時間365日の対応体制と専門知識を比較的低コストで利用できる。
- 適合する組織: 社内にセキュリティ専門人材がいない・中小〜中堅企業
- メリット: 即時に専門体制を整備できる、コストが予測しやすい
- デメリット: 自社システムの把握に限界がある、機密情報の取り扱いに注意が必要
3. 仮想CSIRT(Virtual CSIRT)
専任チームを持たず、インシデント発生時に社内の関係部門(IT・法務・広報・経営企画等)のメンバーが集合して対応チームを編成する形態。平常時はCSIRTとして常設されていないが、役割・権限・手順書を事前に整備しておくことが前提となる。
- 適合する組織: 中小企業・専任リソースを確保できない組織
- メリット: 低コストで始められる、各部門の知見を活用できる
- デメリット: 招集に時間がかかる、訓練を継続しないと形骸化しやすい
4. コーディネーションCSIRT(Coordination CSIRT)
複数の組織CSIRTを束ね、情報共有・調整を行うハブ機能を持つCSIRT。業界横断型や企業グループ全体を統括するケースがある。JPCERT/CCや業界ISAC(Information Sharing and Analysis Center)がその代表例。
CSIRT構築の5ステップ
CSIRTを有効に機能させるには、段階的な構築プロセスを踏むことが重要だ。「まず作ってから考える」という進め方は機能不全に陥るリスクが高い。
ステップ1:スコープ定義とミッション策定
CSIRT構築の第一歩は「何のために、どこまでを守るか」を明確にすることだ。
確認すべき事項:
- ☐ CSIRTが対象とする組織・システム・情報資産の範囲
- ☐ 対応するインシデントの定義(マルウェア感染、不正アクセス、情報漏えいなど)
- ☐ CSIRTのミッションステートメント(例:「当社の事業継続とステークホルダー保護のためにサイバーインシデントへ迅速対応する」)
- ☐ 上位方針(情報セキュリティポリシー)との整合性確認
- ☐ 経営層の承認・コミットメントの取得
重要ポイント: 経営トップのコミットメントなしにCSIRTは機能しない。インシデント発生時には迅速な意思決定と予算執行が必要になるため、設立段階で経営層を巻き込むことが不可欠だ。
ステップ2:体制設計と役割定義
チームの構成・権限・外部連携先を設計する。
CSIRT組織の基本ロール:
ロール | 主な責務 |
|---|---|
CSIRTマネージャー | 全体統括・対外窓口・経営報告 |
インシデントハンドラー | インシデント対応の実務担当 |
テクニカルアナリスト | ログ解析・マルウェア分析・フォレンジック |
コミュニケーション担当 | 社内外への情報発信・広報対応 |
法務・コンプライアンス担当 | 法的リスク評価・規制当局対応 |
体制設計のポイント:
- 兼任チームの場合はCSIRT活動が「本業に勝る優先度」を持つことを明文化する
- 不在時のバックアップ体制(代替担当者)を必ず決める
- エスカレーションフロー(誰がいつ誰に報告するか)を図示化する
- 連絡先リスト(緊急連絡先・外部委託先・JPCERT/CC・警察)を整備する
ステップ3:ツール選定とシステム環境整備
CSIRTが効果的に機能するための技術基盤を整える。
主要ツールカテゴリ:
カテゴリ | 代表的なツール・サービス | 役割 |
|---|---|---|
SIEM | Microsoft Sentinel / Splunk / IBM QRadar | ログ集約・相関分析・アラート生成 |
チケッティング | ServiceNow / JIRA / TheHive | インシデント管理・対応状況追跡 |
脅威インテリジェンス | MISP / VirusTotal / Recorded Future | 脅威情報の収集・共有 |
フォレンジック | Volatility / Autopsy / Velociraptor | デジタル証拠の収集・分析 |
SOAR | Splunk SOAR / Palo Alto XSOAR | 対応手順の自動化・オーケストレーション |
コミュニケーション | Slack(セキュア)/ Microsoft Teams | インシデント対応中のリアルタイム連携 |
VPN/セキュアアクセス | Cisco AnyConnect / GlobalProtect | 安全なリモート対応環境 |
スモールスタートの推奨構成: SIEMとチケッティングツールを最初に整備し、運用が安定してからSOARや脅威インテリジェンスを追加するアプローチが現実的だ。
ステップ4:手順書(プレイブック)の整備
インシデント種別ごとに対応手順を文書化する。属人化を防ぎ、誰でも初動対応が取れる状態を作るための核心的な作業だ。
整備すべき主なプレイブック:
- ☐ ランサムウェア感染対応プレイブック
- ☐ 標的型メール・フィッシング対応プレイブック
- ☐ 不正アクセス・アカウント侵害対応プレイブック
- ☐ 情報漏えい対応プレイブック(個人情報保護法の報告義務対応含む)
- ☐ DDoS攻撃対応プレイブック
- ☐ 内部不正・内部脅威対応プレイブック
プレイブックに含めるべき要素:
- インシデントの定義と判断基準
- 初動対応(最初の30分以内にすべきこと)
- 被害拡大防止措置(隔離・遮断手順)
- 調査・分析手順
- 報告・エスカレーション先と報告タイミング
- 復旧手順
- 事後対応(フォレンジック・再発防止・報告書作成)
ステップ5:訓練と継続的改善
整備したCSIRTを機能させるには、定期的な訓練と改善サイクルが不可欠だ。
訓練の種類:
訓練種別 | 内容 | 推奨頻度 |
|---|---|---|
机上演習(TTX) | シナリオを基にした討議形式の訓練 | 年2回 |
レッドチーム演習 | 攻撃者役が実際に侵入を試みる実践訓練 | 年1回 |
プレイブック確認訓練 | 手順書に従った対応シミュレーション | 四半期1回 |
標的型メール訓練 | 疑似フィッシングメールによる社員訓練 | 月1〜2回 |
BCP/DR連携訓練 | 事業継続計画・災害復旧との連携確認 | 年1回 |
必要なツールと費用目安
ツール別費用目安(年間)
ツール | 費用目安 | 備考 |
|---|---|---|
SIEM(クラウド型) | 120万〜600万円 | ログ量・監視対象数に依存 |
チケッティング(SaaS) | 30万〜120万円 | ユーザー数に依存 |
脅威インテリジェンスフィード | 60万〜300万円 | 商用サービスの場合 |
SOAR | 200万〜800万円 | 自動化ルール数・連携先に依存 |
フォレンジックツール | 50万〜200万円 | ライセンス形態により異なる |
合計(最小構成) | 約260万〜1,020万円/年 | SIEM+チケッティング+脅威Intel |
運用のポイント
人材育成・スキル維持
CSIRTの最大の課題は「人」だ。技術は外部調達できても、自社のシステムとビジネスを理解したインシデントハンドラーは外部から買えない。以下の取り組みを継続的に実施することが重要だ。
- 資格取得支援: CISSP・CISM・CompTIA Security+・情報処理安全確保支援士などの取得を奨励し、学習時間・受験費用を会社が負担する
- CTF(Capture The Flag)参加: 実践的な攻撃・防御スキルを楽しみながら習得する場として活用する
- 外部研修・カンファレンス参加: JSAC・CODE BLUE・SECCON等のセキュリティイベントへの参加で最新の脅威動向を把握する
- ジョブローテーション: SOCとCSIRTのメンバーが互いの業務を体験することで、連携の質を高める
定期演習と継続的な手順書更新
プレイブックは「作って終わり」では意味がない。新たな攻撃手法の出現、システム構成の変更、人員変更に合わせて定期的に見直す必要がある。
- 実際のインシデント対応後には必ず「ポストモーテム(事後検証)」を実施する
- 演習で発見された手順書の不備・曖昧な箇所は速やかに修正する
- 少なくとも年1回はプレイブック全体をレビューする
外部機関との連携体制の整備
CSIRTは孤立して機能するものではない。以下の外部機関との連携チャネルをあらかじめ構築しておくことで、インシデント発生時の対応速度と質が大幅に向上する。
連携先 | 目的 |
|---|---|
JPCERT/CC | 脅威情報共有・インシデント報告・調整支援 |
業界ISAC(金融・医療・電力等) | 業界固有の脅威情報共有 |
警察(サイバー犯罪相談窓口) | 不正アクセス・ランサムウェア被害届 |
個人情報保護委員会 | 個人情報漏えい時の報告義務対応 |
外部セキュリティベンダー(DFIR) | フォレンジック調査・専門的技術支援 |
法律事務所 | 法的リスク評価・訴訟対応 |
広報・PR会社 | 情報漏えい時のメディア対応 |
よくある失敗パターンと対策
CSIRTを構築しても「形だけのCSIRT」になってしまうケースは多い。よくある失敗と対策を整理する。
失敗パターン1:経営層のコミットメント不足
症状: CSIRTが設置されたものの、インシデント発生時に経営判断が遅れる、予算が下りない、他部門が協力しない。
対策: 設立時から経営層を巻き込み、CSIRTの指揮命令権限を定款・規程レベルで明文化する。年1回以上、経営層参加の机上演習を実施して「当事者意識」を醸成する。
失敗パターン2:手順書の形骸化
症状: 手順書はあるが誰も読んでいない、実際の対応でプレイブックを参照しない、内容が古すぎて使えない。
対策: 手順書の「オーナー(更新責任者)」を指名し、四半期ごとのレビューを義務化する。演習後に実際に手順書を開いて確認する「プレイブックウォークスルー」を習慣化する。
失敗パターン3:SOCとCSIRTの連携不全
症状: SOCからのアラートがCSIRTに届かない、エスカレーション基準が不明確でインシデントが放置される。
対策: SOCからCSIRTへのエスカレーション基準(重大度・インシデント種別)を明文化し、定期的に連携テストを実施する。チケッティングシステムでの状態管理を徹底する。
失敗パターン4:人材の属人化と離職リスク
症状: 特定の担当者にCSIRT業務が集中し、その人が離職すると機能不全になる。
対策: 複数人がすべての手順を実行できるよう「ダブルリード制度」を導入する。手順書の整備と定期的なスキルトランスファーを継続する。
失敗パターン5:インシデント後の改善サイクルの欠如
症状: インシデント対応後に「お疲れ様でした」で終わり、再発防止策が実行されない。
対策: すべてのインシデント後に「ポストモーテム報告書」の作成を義務化し、改善アクションのフォローアップを四半期ごとに確認する。
費用目安:社内構築 vs 外部委託
CSIRTの構築・運用コストは、内製か外部委託かによって大きく異なる。
社内CSIRT構築の費用目安
費目 | 初年度 | 2年目以降(年間) |
|---|---|---|
人件費(専任2名想定) | 1,400万〜2,000万円 | 1,400万〜2,000万円 |
ツール・システム費 | 300万〜500万円(初期構築費含む) | 260万〜500万円 |
研修・資格取得費 | 100万〜200万円 | 60万〜120万円 |
外部専門家(アドバイザー等) | 100万〜300万円 | 60万〜200万円 |
演習・訓練費 | 50万〜150万円 | 50万〜150万円 |
合計 | 約1,950万〜3,150万円 | 約1,830万〜2,970万円 |
外部委託型CSIRTサービスの費用目安
サービス範囲 | 月額費用目安 | 年間費用目安 |
|---|---|---|
インシデント対応支援(スポット) | 50万〜200万円/件 | 対応件数次第 |
CSIRT顧問・コンサル(月次支援) | 30万〜80万円/月 | 360万〜960万円 |
マネージドCSIRT(フル委託) | 80万〜300万円/月 | 960万〜3,600万円 |
ハイブリッド(内製支援型) | 30万〜100万円/月 | 360万〜1,200万円 |
社内構築 vs 外部委託の比較
比較軸 | 社内構築 | 外部委託 |
|---|---|---|
初期コスト | 高い(1,950万円〜) | 低い(契約月から開始可) |
ランニングコスト | 高い(人件費が大半) | 予測しやすい(固定費化) |
専門性 | 育成に時間がかかる | 即時に高い専門性を確保 |
自社知識の深さ | 深い | 限定的 |
柔軟性 | 高い(カスタマイズ自在) | サービス範囲による |
スケーラビリティ | 採用が必要 | 契約変更で対応可 |
リスク | 人材離職・属人化 | ベンダー依存・機密情報管理 |
推奨の考え方:
- 中小企業(〜300名): 外部委託型またはハイブリッド型から始め、社内のセキュリティ成熟度を高める
- 中堅企業(300〜1,000名): ハイブリッド型(外部支援を受けながら社内体制を強化)が現実的
- 大企業(1,000名以上): 社内CSIRTを中核に置き、専門調査(DFIR)は外部に委託するハイブリッドモデルが最適
まとめ:CSIRTは「守るための投資」から「事業継続のための経営インフラ」へ
サイバー攻撃が企業経営に直結するリスクとなった現在、CSIRTはセキュリティ担当部門の「内輪の話」ではなく、経営者が責任を持って整備すべき経営インフラである。
本記事で解説した5つの構築ステップを参考に、まず「スコープ定義」と「経営層への説明」から着手してほしい。完璧なCSIRTを一度に作ろうとするのではなく、最小限の体制と手順書を整えた「仮想CSIRT」から始め、段階的に機能を拡充していくアプローチが現実的かつ持続可能だ。
自社リソースだけでCSIRTを構築・運用することに不安を感じている場合は、外部の専門家を活用することを検討してほしい。
AEVUSのCSIRT構築支援・SOCサービス
AEVUSは、企業のCSIRT構築・運用を多角的にサポートするサイバーセキュリティ専門会社です。
支援メニュー(例):
- CSIRT設計コンサルティング(スコープ定義・体制設計・手順書整備)
- インシデント対応のマネージドサービス(24時間365日)
- CSIRT機能を含む統合SOCサービス
- 訓練・演習プログラムの企画・実施
- インシデント発生時の緊急対応支援(DFIR)
「まず現状を把握したい」という段階から、「すぐに対応体制を整えたい」という緊急ニーズまで、柔軟にご支援します。まずはお気軽にご相談ください。
