FAQ

CSIRTとは何ですか

Computer Security Incident Response Teamの略です．コンピュータセキュリティインシデントに関わる活動を行っている組織のことです．インシデント対応，分析，教育や監査，研究開発などを含めて様々な活動を行っています．

CERT/CCでは，以下のように定義されています．

" a capability or team that provides services and support to a defined constituency for preventing, handling and responding to computer security incidents."
(Defining Incident Management Processes for CSIRTs : A Work in Progress, CERT/CC)

CSIRTには，主に以下の条件が必要だと考えられています．

• Coordination(調整)できること
• Incident Handlingしていること
• Constituency（" Q4 ： Constituencyとは何ですか" を参照のこと）の定義がされていること
• 信頼できるコンタクトポイントを提供できること

また，RFC2350には，CSIRTの期待される活動形態が整理されています．
http://www.ietf.org/rfc/rfc2350.txt

なお，CSIRTの定義と解説については，以下のWebページが参考になります．
http://www.cert.org/csirts/csirt_faq.html

CSIRTはどう発音すればいいのでしょうか

「シーサート」です．CERTやSIRTは「サート」と発音します．

コンピュータセキュリティインシデントとは何ですか

様々な考えがあると思いますが，侵入やウィルス感染などの重大なもののみならず，ポートスキャン，脆弱性探索なども含めて，コンピュータセキュリティに関して，何らかの対応や判断が必要だと思われるものはすべてインシデントだと考えます．

JPCERT/CCでは以下のように定義しています．

" コンピュータセキュリティに関係する人為的事象で意図的および偶発的なもの(その疑いがある場合)を含みます．例えば，リソースの不正使用，サービス妨害行為，データの破壊，意図しない情報の開示や，更にそれらに至るための行為(事象)などがあります．"
(JPCERT/CCに関するFAQ，JPCERT/CC)

Constituencyとは何ですか

CSIRT（" Q1 ： CSIRTとは何ですか" を参照のこと）におけるサービスを受ける対象者のことです．

なぜCSIRTのようなものが必要なのでしょうか

事前防御的なセキュリティ対策だけでは，全てのインシデントを未然に防止することができません．また，ビジネスプロセスや情報システムは，ネットワークを介して複数の組織やシステム間で相互に依存しているため，単一の組織や担当では，有効なセキュリティ対策を実施することは困難です．

CSIRTs は，すでに発生してしまったインシデントの情報を流通させること，また，組織間の調整や共同作業を円滑に推進することにより，インシデント発生時の被害を局限化したり，同様のインシデントが再発することを未然に防ぐことを目的としています．コンピュータセキュリティインシデントに関連した情報を定常的に収集・分析することにより，報告者に対して必要な対策をタイムリーに明示することができます．

機密性の高い情報を取り扱いながら，内外の組織と密な情報交換と連携を行う業務には，一般的な組織よりも厳格な情報管理が求められます．そのため，CSIRTという組織が必要になります．また，情報管理のできる組織という属性が，CSIRTが世の中から信頼される理由の一つでもあります．

CSIRTとCERTの違いは何ですか

同じと考えて問題ありません．CSIRTはRFCでも定義されている一般名詞ですが，CERTは米国ではCERT/CCの登録商標となっています．

Coordination Centerとは何ですか

インシデントの解決・再発防止に向けて，CSIRT等，関係機関と調整を行う組織のことです．このような組織の主な活動は，インシデントに関する情報の交換を行う機会を提供することや情報の流通を促進することです．

NTT-CERTとは何ですか

NTT情報流通プラットフォーム研究所の取り組みとして2004年10月1日にNTT-CERTとして活動を開始したNTTの研究所内のCSIRTです．NTT-CERTは，FIRST（" Q9 ： FIRSTとは何ですか" を参照のこと）の加盟メンバおよび日本シーサート協議会（" Q12 ： 日本シーサート協議会とは何ですか" を参照のこと）の初期会員であり，NTT内外のCSIRT，セキュリティチームと連携して様々な取り組みを行っています．

FIRSTとは何ですか

Forum of Incident Response and Security Teamsの略で，世界中のCSIRTとセキュリティチームの集まりです．昨今のワームやウィルスに代表されるように，コンピュータセキュリティに関わる問題は，1つの組織では対応できません．組織や国，地域を越えた枠組として1990年に11の組織で設立されました．2010年1月現在，約200のチームが参加しています．

以下にFIRSTのミッションステートメントを引用します．

" FIRST is an international confederation of trusted computer incident response teams who cooperatively handle computer security incidents and promote incident prevention programs.

* FIRST members develop and share technical information, tools, methodologies, processes and best practices

* FIRST encourages and promotes the development of quality security products, policies & services

* FIRST develops and promulgates best computer security practices

* FIRST promotes the creation and expansion of Incident Response teams and membership from organizations around the world

* FIRST members use their combined knowledge, skills and experience to promote a safer and more secure global electronic environment "

(About FIRST, FIRST)

NTT-CERTはなぜFIRSTに参加するのですか

コンピュータセキュリティインシデントに対応するためには一つの組織では対応できません．問題解決のために今のNTTに必要なものは内部だけではなく外部との連携，情報交換です．このような情報交換の場としてはFIRSTは最適なものといえます．なぜなら，以下のメリットがあるからです．

• 地域，組織形態を越えて，情報交換できます．
• CSIRT同士での信頼関係を構築しています．

NTT CSIRTs体制とは何ですか

NTT-CERTが提案するセキュリティマネージメントフレームワークであり，NTTグループ内におけるCSIRTやセキュリティ部門同士が連携し，インシデントの検知，解決，被害管理，再発防止を軸にしたインシデント管理を主眼にしています．CSIRT構築，NTTグループ内のCSIRT間の連携，およびNTTグループ外との情報交換や協力に関しては，NTT-CERTが全面的にサポートしていきます．

日本シーサート協議会とは何ですか

日本国内で活動する，有志の民間および企業内CSIRTの集まりです．日本国内の企業事情を巧みに利用した攻撃手法などに適切に対処するためには，同じような状況や課題を持つシーサート同士による連携・情報共有することが必要となります．日本で活動するシーサート間の情報共有および連携を図るとともに，組織内シーサート設立を促進，支援するため，2007年3月28日発足，2010年1月現在，14のチームが参加しています．