「サイバー攻撃を受けたらどうする?」——この問いに対する体制が「CSIRT」だ。CSIRT(Computer Security Incident Response Team、シーサート)は、サイバーセキュリティインシデントに対応する専門チーム。
IPAの「情報セキュリティ10大脅威 2026」でも、「インシデント対応体制の不備」が組織の脅威として挙げられ続けている。ランサムウェア攻撃、情報漏洩、サプライチェーン攻撃——いつ被害に遭ってもおかしくない時代に、CSIRTを持たない企業は「消防署のない町」と同じだ。
1. CSIRTとは
定義
CSIRTは、組織内のサイバーセキュリティインシデントを検知・分析・対応・復旧するための専門チーム。日本では日本シーサート協議会(NCA)に加盟するCSIRTが500チーム以上存在する。
CSIRTとSOCの違い
| 項目 | CSIRT | SOC |
|---|
| 役割 | インシデント「対応」 | セキュリティ「監視」 |
| 活動 | インシデント発生時に対応 | 24/365でログ監視・アラート対応 |
| 体制 | 兼任+有事招集が主流 | 専任(or 外部委託) |
| アウトプット | インシデント対応報告書、再発防止策 | 監視レポート、アラート通知 |
| 関係 | SOCからの通報を受けて対応 | CSIRTにインシデントをエスカレーション |
CSIRTとPSIRTの違い
| 項目 | CSIRT | PSIRT |
|---|
| 対象 | 自組織のIT環境 | 自社製品・サービス |
| 脅威 | 自社が攻撃される | 自社製品の脆弱性 |
| ステークホルダー | 社内(IT部門、経営層) | 顧客、パートナー、JPCERT |
| 例 | ランサムウェア対応 | 自社ソフトウェアのCVE対応 |
2. CSIRTの体制モデル
3つの構築パターン
| パターン | 専任人数 | 費用感 | 適する企業 |
|---|
| 兼任型 | 0名(有事のみ招集) | 低 | 〜100名の中小企業 |
| ハイブリッド型 | 1〜2名専任 + 兼任メンバー | 中 | 100〜500名の中堅企業 |
| 専任型 | 3名以上専任 | 高 | 500名以上の大企業 |
中小企業向け「兼任型CSIRT」の構成
| 役割 | 担当者 | 有事の責務 |
|---|
| CSIRTリーダー | 情シス部門長 or CTO | 全体指揮、経営層への報告 |
| 技術担当 | 情シス担当者 | 技術的分析、封じ込め、復旧 |
| 広報担当 | 広報 or 総務 | 外部発表、顧客通知 |
| 法務担当 | 法務 or 外部弁護士 | 法的対応、個人情報保護委員会報告 |
| 外部連携 | CSIRTリーダー | JPCERT/CC、警察、MSSP との連携 |
3. CSIRT構築の7ステップ
| ステップ | 期間 | 内容 |
|---|
| 1. 経営層の承認 | 1〜2週間 | CSIRTの必要性を経営層に説明し、予算・権限を確保 |
| 2. 体制設計 | 2〜4週間 | メンバー選定、役割定義、指揮系統の明確化 |
| 3. 規程・手順書作成 | 4〜8週間 | インシデント対応手順書、エスカレーションルール、連絡先リスト |
| 4. ツール・環境整備 | 2〜4週間 | インシデント管理ツール、フォレンジック環境、セキュア通信手段 |
| 5. 教育・訓練 | 2〜4週間 | メンバー向け技術研修、テーブルトップ演習 |
| 6. 外部連携の構築 | 2〜4週間 | JPCERT/CC窓口登録、NCA加盟検討、MSSP契約 |
| 7. 運用開始・改善 | 継続 | 定期訓練(年2回以上)、手順書の更新、振り返り |
4. インシデント対応手順書のテンプレート
対応フロー
| フェーズ | 目標時間 | 対応内容 |
|---|
| 1. 検知・報告 | 即時 | アラート確認 or 報告受付→CSIRTリーダーに通報 |
| 2. トリアージ | 30分以内 | 影響範囲の初期評価、重大度判定(Critical/High/Medium/Low) |
| 3. 封じ込め | 1〜4時間 | 感染端末の隔離、アカウント停止、ネットワーク遮断 |
| 4. 根絶 | 4〜24時間 | マルウェア除去、脆弱性パッチ、パスワードリセット |
| 5. 復旧 | 24〜72時間 | バックアップからのリストア、動作確認、段階的復帰 |
| 6. 事後分析 | 1〜2週間 | 根本原因分析、タイムライン整理、報告書作成 |
| 7. 改善 | 継続 | 再発防止策の実装、手順書の更新、訓練への反映 |
重大度判定基準
| 重大度 | 基準 | 対応レベル |
|---|
| Critical | 全社システム停止、個人情報大量漏洩、ランサムウェア | 全メンバー招集、経営層報告、外部通報 |
| High | 部門システム停止、限定的な情報漏洩 | 技術担当+リーダー対応 |
| Medium | 単一端末の感染、不審メール受信 | 技術担当が対応 |
| Low | 脆弱性検知(未悪用)、ポリシー違反 | 通常の運用で対応 |
5. 費用の目安
構築費用
| 項目 | 兼任型 | ハイブリッド型 | 専任型 |
|---|
| 体制設計・規程作成 | 50〜100万円 | 100〜300万円 | 300〜500万円 |
| ツール導入 | 0〜50万円 | 50〜200万円 | 200〜500万円 |
| 教育・訓練 | 30〜80万円 | 80〜200万円 | 200〜500万円 |
| 初期費用合計 | 80〜230万円 | 230〜700万円 | 700〜1,500万円 |
年間運用費
| 項目 | 兼任型 | ハイブリッド型 | 専任型 |
|---|
| 人件費(専任分) | 0円 | 600〜1,200万円 | 1,800〜3,600万円 |
| MSSP費用 | 月額10〜30万円 | 月額20〜60万円 | 月額0〜30万円 |
| ツール運用費 | 月額0〜5万円 | 月額5〜20万円 | 月額20〜50万円 |
| 訓練費(年2回) | 30〜60万円 | 60〜150万円 | 100〜300万円 |
| NCA年会費 | 0〜10万円 | 10万円 | 10万円 |
| 年間合計 | 150〜430万円 | 930〜2,200万円 | 2,300〜5,100万円 |
コスト対効果
- ランサムウェア被害の平均復旧コスト:約1.7億円(トレンドマイクロ調査2025年)
- CSIRTがある企業の被害額:CSIRTがない企業の約1/3
- 投資回収:インシデント1件の被害軽減でCSIRT年間費用の10〜100倍のリターン
6. 外部連携先
| 連携先 | 役割 | 連絡タイミング |
|---|
| JPCERT/CC | 国内のインシデント対応調整機関 | インシデント発生時の報告・相談 |
| IPA | 脆弱性情報の提供、相談窓口 | 脆弱性発見時 |
| 警察(サイバー犯罪相談窓口) | 犯罪捜査 | 不正アクセス・ランサムウェア被害時 |
| 個人情報保護委員会 | 個人情報漏洩の報告義務先 | 個人情報漏洩時(72時間以内) |
| 日本シーサート協議会(NCA) | CSIRT間の情報共有・連携 | 平時からの情報共有 |
| MSSP(マネージドセキュリティ) | 監視・分析の外部委託先 | 24/365の監視体制が必要な場合 |
| フォレンジック会社 | 証拠保全・詳細分析 | 法的対応が必要なインシデント |
7. 中小企業が最初にやるべき3つ
大規模なCSIRTは不要。以下の3つだけで、最低限のインシデント対応体制は構築できる。
やること1:連絡先リストを作る(所要時間:1時間)
| 関係者 | 名前 | 電話番号 | メール |
|---|
| CSIRTリーダー(情シス責任者) |
| 技術担当 |
| 経営者 |
| 外部ベンダー |
| JPCERT/CC | — | — | info@jpcert.or.jp |
| 警察サイバー犯罪相談 | — | #9110 | — |
やること2:対応手順書を1枚で作る(所要時間:3時間)
上記「インシデント対応フロー」をA4 1枚にまとめ、情シス部門のデスクに貼っておく。
やること3:年1回の訓練を実施(所要時間:半日)
「ランサムウェアに感染した」というシナリオで、連絡先リストに基づいてエスカレーションする訓練を実施。机上演習(テーブルトップ演習)で十分。
まとめ
CSIRTは「大企業のもの」ではない。中小企業でも「連絡先リスト+対応手順書+年1回の訓練」で最低限の体制は構築できる。
- まず連絡先リストと手順書を作る(費用ゼロ、所要時間半日)
- 外部MSSPを活用する(月額10万円〜で24/365監視が可能)
- 年2回の訓練で実効性を維持する
「インシデントが起きてから体制を作る」のでは遅い。被害が拡大する前に、今日から準備を始めよう。
