CSIRTは、技術チームではなく有事の意思決定システムです。権限、責任、報告線、判断基準、証拠保全、外部連携、法的義務を、企業法務と経営の観点から整理します。
CSIRTは、技術チームではなく有事の意思決定システムです。
技術対応だけでなく、企業統治、個人情報、証拠保全、広報、契約、経営判断を統合します。
インシデント対応チームCSIRTの立ち上げでは、最初にツールや人員数ではなく、権限、責任、報告線、判断基準、証跡、外部連携、法的義務の管理方法を決めます。この順番は、発生時に誰が判断し、どこまで止め、どの時点で報告し、どの資料を証拠として残すかを迷わないために重要です。
次の重要ポイントは、CSIRTを情報システム部門だけの対応ではなく、経営法務上の制度設計として見る理由を表します。3つの軸を読むことで、封じ込め、法令報告、顧客説明を同時に動かす必要性が分かります。
攻撃の封じ込め、ログ解析、復旧だけでなく、個人情報保護委員会への報告、本人通知、取引先説明、経営報告、警察やJPCERT/CC等への相談、証拠保全、外部専門家との連携を時系列で統制します。
次の一覧は、CSIRT立ち上げで最初に設計する7つの要素を表します。各要素を確認することで、有事に現場判断だけへ依存せず、会社として説明可能な対応にするための土台を読み取れます。
調査、隔離、ログ取得、外部専門家起用、報告要求の範囲を定めます。
実行責任者、最終責任者、相談先、報告先を明確にします。
CSIRT責任者、CISO、法務責任者、経営会議、取締役会への流れを決めます。
重大度分類、初動期限、報告・通知義務、停止判断を共通基準で扱います。
タイムライン、ログ、端末、クラウド監査ログ、判断記録を後日説明できる形で残します。
外部弁護士、フォレンジック、保険会社、警察、JPCERT/CC、委託先の連絡先を整備します。
個人情報、契約、業法、海外法、開示、労務、営業秘密、刑事対応を管理表に入れます。
次の比較一覧は、サイバーインシデントで同時に発生する企業法務上の論点を表します。項目ごとに見ることで、CSIRTが単なる復旧部隊ではなく、内部統制、報告義務、証拠、対外説明を管理する機能であることを読み取れます。
顧客情報、営業秘密、決済情報、生産設備、クラウド、委託先、海外拠点が対象になるため、事業継続と企業価値に直結します。
速報は発覚日から概ね3〜5日以内、確報は原則30日以内、不正目的のおそれがある場合は60日以内という管理が問題になります。
ログ、端末イメージ、クラウド監査ログ、メール、アクセス権限変更履歴、外部業者とのやり取り、意思決定資料が後日の証拠になります。
早すぎる公表は不正確な情報拡散を招き、遅すぎる公表は隠蔽と受け止められる可能性があります。
次の用語表は、CSIRT周辺の主要機能を比較します。役割の違いを先に分けることで、監視、組織対応、製品脆弱性対応、証拠保全を混同せずに設計できます。
| 用語 | 役割 | 設計上のポイント |
|---|---|---|
| インシデント | 情報資産、システム、業務、個人情報、営業秘密、信用、法令遵守に悪影響を与える、またはそのおそれがある事象です。 | 被害確定後だけでなく、攻撃の痕跡、漏えいのおそれ、通報、脆弱性報告も扱います。 |
| インシデント対応 | 準備、検知、初動、封じ込め、根絶、復旧、報告、再発防止、演習、改善を含むサイクルです。 | 発生後の処理だけでなく、平時の準備と教訓反映まで含めます。 |
| CSIRT | 組織内外のセキュリティインシデントに対応する機能です。 | 物理的な部署に限らず、仮想チームでも成立します。対象範囲、ミッション、権限、サービスを定義します。 |
| SOC | 監視、検知、ログ分析、アラート対応を中心に担います。 | 見つける機能として、CSIRTへのエスカレーション基準を定めます。 |
| PSIRT | 製品・サービスの脆弱性や製品セキュリティ事故に対応します。 | SaaS、IoT、アプリ、クラウド、医療機器、車載システムの提供企業では重要です。 |
| デジタルフォレンジック | PC、サーバー、スマートフォン、クラウド、メール、ログなどを証拠利用に耐える形で保全・解析します。 | 初動で証拠を破壊しないルール、外部専門家、保全対象、手順を定めます。 |
NIST、ISO、FIRST、JPCERT/CC、経済産業省・IPAの考え方を設計原則へ落とし込みます。
次の一覧は、CSIRT設計で参照される標準・公的資料の位置づけを表します。資料ごとの焦点を読むことで、プロセス、サービス選定、組織設計、経営責任を分けて取り込めます。
| 資料 | 示す考え方 | 立ち上げへの反映 |
|---|---|---|
| NIST SP 800-61 Rev.3 | インシデント対応をCSF 2.0に沿ってリスク管理全体へ組み込みます。 | ガバナンス、識別、防御、検知、対応、復旧を分断しない設計にします。 |
| NIST Cybersecurity Framework 2.0 | サイバーリスク管理を経営活動へ接続します。 | 経営報告と継続的改善をCSIRTの通常業務に入れます。 |
| ISO/IEC 27035-1 | 準備、検知、報告、評価、対応、教訓反映を構造化します。 | 人を集めるだけではなく、記録、判断基準、改善サイクルを整えます。 |
| FIRST CSIRT Services Framework | CSIRTのサービスを階層的に整理し、全サービスを必須とはしません。 | 自社のリスク、規模、業種、成熟度に応じた最小構成から始めます。 |
| JPCERT/CC CSIRTマテリアル | 組織全体の視点から構想、構築、運用フェーズを示します。 | 型だけでなく、自社の工場、金融、医療、SaaS、海外拠点などの事情に合わせます。 |
| 経済産業省・IPAの経営ガイドライン | 経営者が認識する原則とCISO等に指示する重要項目を整理します。 | CSIRT設置を情報システム部門の稟議ではなく、経営の意思決定として位置づけます。 |
次の重要ポイントは、標準資料から共通して導かれる実務原則を表します。上から順番に読むことで、平時のリスク把握から外部情報共有、演習後の改善までを一連の能力として設計できます。
資産、データ、業務重要度、委託先、海外拠点を整理します。
SOC、CSIRT、事業部、法務、広報、経営が同じタイムラインで動きます。
最初から全機能を持たず、受付、トリアージ、技術調査、法務評価、経営報告などから始めます。
演習や発生事案から、手順、契約、ログ、連絡先、文案を更新します。
権限ある調整機能として、法務・技術・事業の三角形で設計します。
次の一覧は、CSIRTを設計するときの3つの軸を表します。技術だけ、法務だけ、事業だけに寄せると初動のどこかが遅れるため、各軸の役割を並べて読み取ります。
ログ、EDR、クラウド、脆弱性、バックアップ、ネットワーク遮断、アカウント停止を扱います。
当局報告、本人通知、契約通知、証拠保全、労務、保険、海外法、訴訟リスクを扱います。
顧客、取引先、従業員、投資家、メディアへの説明と、財務影響、ブランド、復旧優先順位を扱います。
次の比較表は、CSIRTの組織モデルを表します。自社の規模、規制、海外拠点、事業部の分散度に応じて、利点と注意点を読み取ります。
| モデル | 向いている組織 | 注意点 |
|---|---|---|
| 仮想CSIRT | 専任部署を置かず、情報システム、法務、総務、人事、広報、事業部、内部監査などから有事に招集します。中小企業や立ち上げ初期に適します。 | メンバー名簿、代替者、連絡手段、招集条件、初動チェックリストがないと動けません。 |
| 中央集権型CSIRT | 本社または情報セキュリティ部門に専任チームを置きます。大企業、上場企業、金融、医療、通信、SaaS、重要インフラで採用しやすいです。 | 事業部や海外拠点の現場事情を把握するため、リエゾンや地域担当を配置します。 |
| 分散・連邦型CSIRT | 事業部、地域、子会社、海外拠点にローカル対応機能を置き、本社CSIRTが基準と重大事案対応を担います。 | 重大度基準、報告期限、証拠保全、対外公表、委託先連絡ルールを統一します。 |
| 外部委託・リテイナー併用型 | SOC監視、フォレンジック、法律相談、広報支援を外部専門家で補います。 | システム停止、顧客説明、当局報告、公表、事業継続は会社自身の意思決定として残ります。 |
外部委託を使う場合は、24時間365日の連絡可否、初動開始までのSLA、保全対象、ログやクラウド環境へのアクセス権、秘密保持、再委託、海外移転、報告書の帰属、法務との連携、保険会社への提出可否、追加費用の条件を契約で確認します。
経営承認から憲章、法令マトリクス、RACI、重大度、演習まで順番に整えます。
次の時系列は、CSIRT立ち上げの12段階を表します。順番には意味があり、経営承認と権限設計を先に置くことで、後続の棚卸し、重大度分類、証拠保全、外部契約、演習を有事に使える形へつなげます。
目的、対象範囲、経営スポンサー、責任者、重大時報告先、初動権限、予算、外部専門家起用方針、活動報告義務を承認します。
ミッション、対象範囲、対象者、事象、権限、報告線、エスカレーション、記録、守秘、改訂を定めます。
個人情報、マイナンバー、クレジットカード、営業秘密、上場会社、業法、労務、契約、海外法、刑事、保険を一覧化します。
重要システム、管理者、クラウドアカウント、個人データ、顧客・取引先データ、営業秘密、バックアップ、ログ、委託先、海外拠点、代替業務手段を把握します。
受付、トリアージ、技術調査、封じ込め、法務評価、経営報告、広報・顧客対応、外部連携、復旧、再発防止を初期構成にします。
実行責任者、最終責任者、相談先、報告先を、重大度判定、個人情報判断、システム停止、証拠保全、当局報告、公表、顧客通知ごとに決めます。
S0からS4までの分類と初動期限を設計し、個人情報、営業秘密、業務停止、取引先影響、開示、海外法、犯罪性、証拠保全を評価軸に入れます。
ランサムウェア、個人情報漏えい、不正アクセス、ビジネスメール詐欺、クラウド設定ミス、内部不正・情報持出しを用意します。
端末再起動、ネットワーク隔離、メモリ保全、クラウドログ、メール監査ログ、EDR、DNS、Proxy、WAF、SaaS監査ログ、原本と作業コピーを定めます。
事実、評価、推測を分け、未確定事項を断定せず、被害者保護、再発防止、次回更新予定、問い合わせ窓口を整えます。
外部弁護士、フォレンジック、クラウド・SaaSベンダ、SOC、保険、翻訳、コールセンター、PR危機管理、海外専門家、警察やJPCERT/CCへの相談ルートを整えます。
少なくとも年1回、重大シナリオの机上演習を行い、連絡不能、判断遅延、権限不明、ログ不足、契約通知義務、証拠保全、復旧判断を改善します。
初動期限と保全対象を定めることで、被害拡大と説明不全を抑えます。
次の重大度分類表は、事象の影響と初動期限を表します。技術影響だけでなく、個人情報、営業秘密、業務停止、取引先、当局報告、開示、海外法、犯罪性を読み込むことで、過小評価を避けます。
| 区分 | 概要 | 例 | 初動期限 |
|---|---|---|---|
| S0 | 会社存続、重大法令、社会的影響レベル | 基幹業務停止、大量個人データ流出、公表必至 | 即時招集、経営報告 |
| S1 | 重大インシデント | 重要サーバー侵害、個人データ漏えいのおそれ、取引先影響 | 1時間以内にCSIRT招集 |
| S2 | 中程度 | 限定的マルウェア、単一端末侵害、局所的情報流出 | 当日中に一次評価 |
| S3 | 軽微 | フィッシングメール受信、隔離済み端末、低影響アラート | 2営業日以内に処理 |
| S4 | 監視・参考 | 不審ログ、外部情報、脆弱性情報 | 通常運用 |
次の判断の流れは、発覚後にCSIRTが何を優先するかを表します。上から順に見ることで、封じ込め、証拠保全、法務評価、対外説明を同時並行で動かす必要性を読み取れます。
報告期限、調査範囲、後日の説明の起点になります。
個人情報、営業秘密、業務停止、攻撃継続、取引先影響、海外法を確認します。
停止、公表、当局報告、外部専門家起用を判断します。
証拠保全と再発防止の必要性は残ります。
復旧を急ぎすぎて証拠を壊さないよう、技術、法務、外部専門家で優先順位を決めます。
証拠保全では、端末を不用意にシャットダウンしない場合があること、ネットワーク隔離方法、メモリ保全、ディスクイメージ、クラウドログ、メール監査ログ、VPN、ID基盤、EDR、DNS、Proxy、WAF、ファイアウォール、SaaS監査ログ、作業者、日時、対象、ハッシュ値、保管場所、原本と作業コピーの区別、外部専門家への引渡し、法務との連携、証拠保全と復旧の優先順位を定めます。
対外説明では、事実、評価、推測を分け、未確定事項を断定せず、被害者保護、具体的な再発防止、原因究明中であること、次回更新予定、問い合わせ窓口、二次被害防止、法令上必要な通知と任意説明の区別を意識します。公表文、顧客通知、社内通知、取引先通知、監督官庁報告、警察相談、JPCERT/CC連絡は、同じ事実認定に基づいて作成します。
経営報告、個人情報、委託先、労務、営業秘密、刑事、保険を同時に管理します。
次の一覧は、企業法務がCSIRTに組み込むべき論点を表します。どの論点も初動で判断が遅れると説明責任や証拠に影響するため、担当と確認資料を平時に決めておくことが重要です。
発覚日時、発覚経緯、影響システム、影響データ、業務影響、個人情報・営業秘密・決済情報、攻撃継続性、封じ込め、復旧見込み、報告・通知義務、公表要否、外部専門家、未確定事項、経営判断事項を整理します。
取締役会個人情報か個人データか、要配慮個人情報、財産的被害、不正目的、1,000人超、速報、確報、本人通知、海外居住者、EUデータ主体を確認します。
期限通知期限、通知事項、調査協力、ログ提供、再委託、監査権、役割分担、公表協議、費用負担、損害賠償、保険、外国法、脆弱性対応を確認します。
契約不正アクセス、ランサムウェア、詐欺送金、脅迫、業務妨害、営業秘密侵害では、ログ、攻撃時刻、IP、メールヘッダ、検体、被害額、送金先情報を整理します。
証拠通知期限、指定ベンダ、事前承認費用、免責、タイムライン、原因、被害範囲、復旧費用、外部専門家費用、売上損失、再発防止費用を確認します。
保険GDPRが適用される事案では、個人データ侵害を認識した後、不当な遅滞なく、可能な場合は72時間以内に監督機関へ通知する義務が問題になる場合があります。日本法の速報・確報だけを見ていると海外法の期限を見落とすため、CSIRTの法務マトリクスには海外データの有無を必ず入れます。
ランサムウェア、漏えい、BEC、クラウド設定ミス、内部不正、脆弱性報告を分けて準備します。
次の一覧は、典型的なインシデントごとの初動要点を表します。事象ごとに優先順位が異なるため、左の事象名と右の確認項目を対応させて読み取ります。
暗号化範囲、侵入経路、データ窃取、バックアップ、要求内容、業務停止、個人情報・営業秘密、公表・通知、復旧優先順位、再侵入防止を確認します。
速報、確報、本人通知、FAQ、コールセンター、再発防止策を並行して進めます。漏えいの証拠がなくても、おそれで報告義務が問題になる場合があります。
銀行、送金先金融機関、警察、取引先へ迅速に連絡し、認証情報変更、多要素認証、転送ルール、OAuth連携、過去メール、保険を確認します。
公開範囲を修正しつつ、修正前の状態、公開期間、アクセスログ、ダウンロード有無、対象データ、検索エンジンキャッシュ、第三者指摘を保全します。
アクセスログ、端末、メール、USB接続履歴、クラウドアップロード、印刷履歴、入退館、退職時書類、誓約書、就業規則を確認します。
製品、SaaS、アプリ、API、IoTでは、受付窓口、報告者連絡、修正計画、顧客通知、CVE、JVN等との連携を整理します。
文書、ログ、指標をそろえることで、対応を測定し改善できます。
次の文書体系は、CSIRT立ち上げ時に整える成果物を表します。目的欄を読むことで、どの文書が初動、報告、証拠、再発防止のどこを支えるかを確認できます。
| 文書 | 目的 |
|---|---|
| CSIRT憲章 | 目的、権限、対象範囲、報告線を定めます。 |
| インシデント対応規程 | 組織全体の対応ルールを定めます。 |
| 重大度分類基準 | エスカレーションと対応速度を決めます。 |
| 初動チェックリスト | 発覚後の確認漏れを防ぎます。 |
| 証拠保全手順 | ログ、端末、クラウド証跡を保全します。 |
| 連絡先一覧 | 社内外の緊急連絡先を管理します。 |
| 法令・契約マトリクス | 報告・通知義務を判断します。 |
| 当局報告・本人通知・顧客通知テンプレート | 個人情報、契約、信頼関係上の説明を迅速化します。 |
| 広報holding statement | 初期公表とメディア対応を準備します。 |
| 取締役会報告・事後報告書テンプレート | 経営判断と原因、対応、再発防止の記録を支援します。 |
| 演習計画書・改善管理台帳 | 年次訓練と是正追跡を制度化します。 |
次のログ一覧は、CSIRTが事実認定に使う主な技術基盤を表します。ログがなければ侵入経路や漏えい範囲を説明できないため、領域ごとに必要な記録を読み取ります。
| 領域 | 主なログ |
|---|---|
| ID基盤 | ログイン、MFA、権限変更、失敗ログイン、条件付きアクセス |
| 端末 | EDR検知、プロセス、ファイル操作、USB接続、隔離状況 |
| メール | 送受信、転送ルール、認証、添付ファイル、URLクリック |
| ネットワーク | Firewall、Proxy、DNS、VPN、IDS/IPS、NetFlow |
| クラウド・SaaS | 管理者操作、ストレージ公開設定、APIアクセス、監査ログ、共有設定、外部招待、ダウンロード、権限変更 |
| Web・データベース | WAF、Webアクセス、管理画面アクセス、改ざん履歴、管理者アクセス、クエリ、エクスポート |
| バックアップ・物理 | 成功・失敗、世代、改ざん、復元テスト、入退館、監視カメラ、媒体持出し |
次の指標一覧は、CSIRT活動を測定するKPIとKRIを表します。件数を減らすだけでは通報抑制につながるため、検知、確認、封じ込め、復旧、法務評価、証拠保全、改善の速度と達成度を読み取ります。
| 指標 | 意味 |
|---|---|
| MTTD、MTTA、MTTC、MTTR | 検知、アラート確認、封じ込め、復旧までの平均時間です。 |
| 重大度判定時間、経営報告時間、法務評価時間 | 初期分類、経営報告、報告・通知義務判断の迅速性を示します。 |
| 証拠保全完了率、プレイブック適用率、演習実施率、改善完了率 | 手順に基づく対応と改善の達成度を示します。 |
| ログ取得率、委託先連絡先整備率、データマップ更新率 | 重要システム、重要委託先、漏えい対応基盤の鮮度を示します。 |
| KRI | 未修正高リスク脆弱性、MFA未適用、特権ID棚卸し未実施、バックアップ復元テスト未実施、ログ保存不足、退職者アカウント残存、委託先評価未実施などです。 |
専任チームがなくても、連絡先、判断基準、証拠保全、演習から始められます。
次の時系列は、中小企業が最初の90日で整える内容を表します。専任人材が少ない場合でも、誰に連絡し、何を止め、何を記録し、誰が判断するかを段階的に決める流れを読み取れます。
仮想CSIRTの最小構成は、経営責任者、情報システム担当、法務または総務担当、個人情報保護担当、事業責任者、広報・顧客対応担当、外部ITベンダ、外部弁護士、外部フォレンジック候補を含めて整理します。この一覧は、社内だけで完結しない場面を先に想定するために重要で、誰が社外専門家や顧客窓口を担うかを読み取ります。
CSIRT責任者、緊急連絡先、重大度分類、個人情報の所在、重要システム、バックアップ、外部ITベンダ連絡先、漏えい時の報告期限、ランサムウェアと個人情報漏えいの初動チェックリストを整えます。
CSIRT憲章の簡易版、証拠保全ルール、ログ保存状況、委託先通知義務、顧客通知テンプレート、外部弁護士・フォレンジック候補、机上演習を整えます。
演習結果で手順を修正し、経営会議へ報告し、サイバー保険、重要委託先の有事連絡先、バックアップ復元テスト、年間改善計画を整えます。
次の失敗一覧は、CSIRTが機能しない典型例と回避策を表します。各行の原因と対策を対で読むことで、形式的な設置に終わらせないための改善点を確認できます。
| 失敗 | 回避策 |
|---|---|
| 名前だけCSIRT | 憲章、初動チェックリスト、年1回以上の演習を整えます。 |
| 技術部門に丸投げする | 重大度S1以上では法務・プライバシー担当を自動招集します。 |
| 法務が技術事実を待ちすぎる | 判明事実、合理的疑い、未確定事項を分け、速報と続報で進めます。 |
| ログがない | 重要システムのログ保存期間と取得項目を平時に監査します。 |
| 委託先から情報が出ない | 契約更新時に通知期限、調査協力、ログ提供、監査権を見直します。 |
| 公表文が技術的すぎる | 法務、広報、CSIRT、事業部が共同でテンプレートを作ります。 |
| 復旧を急ぎすぎて再侵入される | 復旧前チェックリストで侵入経路、認証情報、脆弱性、バックアップ健全性を確認します。 |
| 演習が形式的です | 時間制限、未確定情報、経営判断、メディア問い合わせ、取引先要求を含むシナリオにします。 |
次の確認表は、初回立ち上げ時に見る項目を表します。完了欄は実務上の管理用であり、項目の並びから、経営承認、責任者、憲章、重大度、連絡先、漏えい判断、証拠保全、プレイブック、資産、外部専門家、保険、ログ、復元、文案、演習までの範囲を読み取ります。
| チェック項目 | 完了 |
|---|---|
| 経営会議または取締役会でCSIRT設置を承認しました | 確認 |
| CSIRT責任者と代替者を決めました | 確認 |
| CSIRT憲章、対象範囲、重大度分類、初動連絡先一覧を作成しました | 確認 |
| 個人情報漏えい時の判断手順と証拠保全手順を作成しました | 確認 |
| ランサムウェア、不正アクセス、個人情報漏えいの初動手順を作成しました | 確認 |
| 重要システム、個人データの所在、重要委託先の有事連絡先を整備しました | 確認 |
| 外部弁護士、フォレンジック会社候補、サイバー保険の通知条件を確認しました | 確認 |
| ログ保存状況、バックアップ復元テスト、公表文・顧客通知・取締役会報告テンプレートを確認しました | 確認 |
| 年次演習計画と改善管理台帳を作成しました | 確認 |
法務はブレーキではなく、迅速かつ説明可能な経営判断を支える機能です。
次の一覧は、法務部門がCSIRTで担う役割を表します。事実認定、法的義務、証拠保全、説明責任を整理することで、会社が迅速かつ適法に動けるようにします。
CSIRT憲章、法令・契約マトリクス、個人情報漏えい判断手順を作成します。
委託先契約のインシデント条項、証拠保全手順、外部弁護士・フォレンジックとの連携を整えます。
当局報告、本人通知、顧客通知、公表文、取締役会報告の法的論点を整理します。
警察相談、刑事対応、訴訟、保険、損害賠償、海外法適用、演習シナリオへの法的論点組込みを担います。
インシデント対応チームCSIRTの立ち上げは、情報システム部門の任意活動ではなく、企業法務、経営、内部統制、プライバシー、証拠保全、事業継続を統合する制度設計です。攻撃を完全に防ぐ組織ではなく、攻撃や事故が起きたときに、会社が混乱せず、被害を最小化し、適切に説明し、復旧し、学習するための組織能力です。