CSIRTとCERT：類似点、相違点、CERTの8つの例

コンピュータ・セキュリティ・インシデント・レスポンス・チーム（CSIRT）とは？

コンピュータ・セキュリティ・インシデント・レスポンス・チーム（CSIRT）は、サイバーセキュリティ・インシデントへの対応を任務とする専門集団である。CSIRTは、セキュリティ侵害、サイバー攻撃、または組織の情報資産に対するあらゆる脅威の余波を管理するための組織的なアプローチを提供する。CSIRTの形成は事前対策であり、組織は迅速かつ効果的にセキュリティ・インシデントに対処し、被害を最小限に抑え、攻撃から回復することができる。

CSIRT（またはそれに相当するインシデント対応準備チーム）の設置は、進化するサイバー脅威から情報資産を守ることを目指す組織にとって極めて重要である。インシデント対応に特化した専門チームを設置することで、組織はセキュリティ・インシデントに効率的に対処できる体制を確保し、業務や評判への潜在的な影響を軽減することができます。

コンピュータ緊急対応チーム（CERT）とは？

コンピュータ緊急対応チーム（CERT）は、コンピュータ・セキュリティ・インシデントに対応するためのサービスやサポートを、より広い範囲で提供する組織またはチームである。通常、単一の組織に焦点を当てる CSIRT とは異なり、CERT は多くの場合、より大きなコミュニティ、部門、あるいは国を対象としています。CERT の使命は、専門家の助言を提供し、サイバーセキュリティ・インシデントに対応し、セキュリティ慣行に対する認識を促進することで、対象者の全体的なサイバーセキュリティ態勢を強化することです。

CERT は、そのコミュニティ、部門、または国のサイバーセキュリティ・インフラストラクチャにとって不可欠です。CERT は、サイバーセキュリティ インシデントに関する専門知識と調整の集中的な情報源を提供することで、より安全で回復力のあるデジタル環境の確保に貢献しています。サイバーセキュリティに対する認識とベスト・プラクティスを推進する彼らの活動は、セキュリティ・インシデントの防止と、その利用者の全体的なセキュリティ態勢の強化に大きく貢献しています。

推奨図書：サイバー脅威インテリジェンスの4つのタイプと効果的な使い方。

世界のCERTの8つの例

1.米国 CERT コーディネーションセンター（CERT/CC）

モリス・ワーム事件後の1988年に設立されたCERTコーディネーション・センター（CERT/CC）は、ネットワーク・セキュリティの向上を目的とした世界初のCERTの1つである。カーネギーメロン大学のソフトウェア工学研究所（SEI）の下で運営され、脆弱性情報やインシデント対応サービスなど、幅広いサイバーセキュリティ・リソースを提供することで、国内外の関係者にサービスを提供している。

2.欧州政府 CERTs（EGC）グループ

欧州政府 CERTs（EGC）グループは、欧州各国の CERT の集まりで、政府のデジタル・サービスとインフラの安全確保に重点を置いている。このグループは、欧州政府機関のサイバーセキュリティ態勢を強化するために、メンバー間の協力と情報共有を促進しています。

3.コンピュータ緊急対応センター（JPCERT/CC）

1996年に設立されたJPCERT/CCは、日本におけるサイバーセキュリティインシデントの主要な窓口である。インシデントレスポンス、サイバーセキュリティの脅威に対する早期警告、サイバーセキュリティ啓発キャンペーンの実施などのサービスを提供し、日本のインターネットコミュニティにおいて重要な役割を果たしている。

4.オーストラリアコンピュータ緊急対応チーム（CERTオーストラリア）

オーストラリアの主要な国家CERTとして、CERT オーストラリアは、オーストラリアの企業や政府機関にサイバーセキュリティに関する情報や支援を提供することに重点を置いている。サイバーセキュリティの脅威の防止と対応に関する助言を提供し、国内外の他のCERTと連携している。

5.カナダ・サイバー・インシデント・レスポンス・センター（CCIRC）

カナダ・サイバー事件対応センター（CCIRC）は、カナダの重要インフラに対するサイバー脅威の緩和と対応を担当しています。CCIRCは官民のパートナーと協力し、オンライン上の国益を保護し、カナダの重要インフラの回復力を確保しています。

6.英国国家サイバーセキュリティセンター（NCSC）

英国のナショナル・サイバー・セキュリティ・センター（NCSC）は、これまでの政府CERTを統合して置き換えるもので、国内のサイバーセキュリティの脅威に対する助言、調査、監視の統一的な情報源を提供する。公共部門と民間部門に支援を提供することで、英国をオンライン上で生活し働く上で最も安全な場所にすることを目指している。

7.インドコンピュータ緊急対応チーム（CERT-In）

インドの通信・情報インフラのセキュリティ強化を目的に2004年に設立されたインドの国家CERT。インシデントレスポンスやセキュリティ品質管理サービスを提供するほか、ガイドライン、勧告、脆弱性ノートなどを発行している。

8.イスラエル国家サイバー総局（INCD）

イスラエル国家サイバー総局（INCD）は、イスラエルの国家CERTとして機能し、敵対国やテロ組織からの差し迫ったサイバー脅威から国を守っている。INCDは、サイバーセキュリティ政策の策定、サイバー防衛分野におけるすべての運用努力の調整と統合を担当している。INCDは技術革新とテクノロジーを重視しており、サイバー耐性を強化する世界的な取り組みにおいて重要な役割を担っている。

CSIRTとCERT：主な類似点

目的

CSIRT と CERT はどちらも、それぞれの対象者のサイバーセキュリティ態勢を強化することを目的としている。サイバー脅威から情報とシステムを保護し、インシデントへの迅速かつ効果的な対応を確保することに重点を置いている。中核的な目的は、セキュリティ・インシデントが業務に与える影響を最小限に抑え、利害関係者間の信頼を維持することである。

機能

CSIRT と CERT は、インシデント処理と対応、脅威情報の共有、脆弱性管理など、いくつかの基本的な 機能を共有している。両者とも、現在のサイバー脅威、脆弱性、インシデントに関する情報の分析と普及に関与している。リスクを軽減し、セキュリティ対策を改善するためのガイダンスを提供する。

国際協力

CSIRT と CERT は、サイバー脅威、脆弱性、ベストプラクティスに関する情報を共有するために、国際的なネットワークや協力関係に積極的に参加している。このようなグローバルな協力により、サイバーインシデントへの対応能力が強化され、共有された知識やリソースを活用することでサイバーセキュリティの全体的な状況が改善される。

インシデントの分析と報告

CSIRT と CERT の重要な共有機能は、サイバーセキュリティ・インシデントの分析と報告である。CSIRTは、セキュリティ侵害、マルウェア感染、その他のサイバー脅威に関するデータを収集し、分析する。この分析に基づいて、脅威の性質についてそれぞれのコミュニティに通知し、保護対策を推奨するためのレポートや勧告を作成する。

CSIRTとCERTの違いとは？

起源と用語

コンピュータ・セキュリティ・インシデント・レスポンス・チーム（CSIRT）の概念は、組織がサイバーセキュリティ・インシデントに対応する専門グループの必要性を認識したことから生まれた。このようなチームは、多くの場合、組織内またはコミュニティ内で結成され、自分たちのネットワークやシステムに影響を及ぼすセキュリティ・インシデントに特に対処する。CSIRT」という用語は、セキュリティ・インシデントに対応するチームの役割を強調している。

一方、「コンピュータ緊急対応チーム（CERT）」という用語は、もともとは、米国の国防高等研究計画局（DARPA）によって創設されたCERTコーディネーションセンター（CERT/CC）を説明するために使用された（上記で詳述）。この名称は、それ以来、世界中の他のさまざまな組織によって採用されており、多くの場合、より広範な任務が与えられている。CERT は通常、より広いコミュニティやセクターに焦点を当て、インシデントに対応するだけでなく、インシデントの予防やセキュリティ態勢の改善を支援するサービスを提供している。

焦点と範囲

CSIRTは主にインシデントレスポンスに重点を置いている。その活動の中心は、特定の組織の情報とシステムを保護するために、サイバー脅威を特定、管理、緩和することである。CSIRTは社内の利害関係者と緊密に連携し、インシデントへの協調的な対応を確保し、被害を最小限に抑えます。

CERT は、緊急事態への対応だけでなく、より広範なコミュニティのサイバーセキュリティ態勢をプロアクティブに改善することを含む、より広範な範囲を持っている。これには、脆弱性、脅威、サイバーセキュリティのベストプラクティスに関する情報の普及が含まれる。CERT は多くの場合、複数の組織を巻き込みながら、それぞれのコミュニティやセクターの連絡や調整の中心的な役割を果たします。

機能と責任

CSIRTは、セキュリティ・インシデントへの即時対応に責任を負う。その機能には、インシデントの分析、封じ込め、脅威の根絶、復旧、インシデント発生後の分析が含まれる。また、組織のインシデント対応計画の策定と維持に関与することもある。

CERT は、即時のインシデント対応にとどまらず、より広範なサービスを提供している。これには、脆弱性分析、勧告やアラートの発行、セキュリティ意識向上トレーニングの実施、さまざまな利害関係者間での情報共有の促進などが含まれる。CERT は多くの場合、政府機関、業界団体、国際組織と協力しながら、国家またはセクター全体のサイバーセキュリティ対策において極めて重要な役割を果たしている。

地理的・組織的範囲

CSIRT の地理的・組織的な範囲は、一般的に特定の企業、政府機関、教育機関など、所属する組織に限定される。その主な目的は、サイバーセキュリティの脅威から組織の内部ネットワークとシステムを保護することである。

しかし、CERT は、国レベル、部門レベル、あるいは国際レベルで活動し、幅広い利用者にサービスを提供する場合もある。CERT の中には、国内の全セクターにわたるサイバーセキュリティの取り組みを調整する責任を負う国家機関もあれば、特定の産業やコミュニティに焦点を当てる機関もある。

あなたの組織にCSIRTやCERTは必要か？

CSIRT と CERT のどちらを選択するかは、組織の特定のニーズに依存する。内部システムや情報の保護に重点を置く企業にとっては、CSIRT の設立や協力の方が有益かもしれない。CSIRT は、組織固有のサイバーセキュリティ上の課題に対して、よりカスタマイズされたサポートを提供します。

しかし、より広範なサイバーセキュリティの認識、インシデント予防情報、部門全体または国全体の調整については、CERT との連携が有利である。CERT は、サイバーセキュリティに関してより広い視野を提供し、共通の知識やリソースの恩恵を受け、それに貢献する。深刻なサイバーリスクに直面している組織や、非常に貴重な資産を保護している組織は、社内に CSIRT を設置する（またはサードパーティにアウトソーシングする）と同時に、地域の CERT と緊密に連携することで、両方のメリットを得ることができる。