Computer Security Incident Response Teamの略です.コンピュータセキュリティインシデントに関わる活動を行っている組織のことです.インシデント対応,分析,教育や監査,研究開発などを含めて様々な活動を行っています.
CERT/CCでは,以下のように定義されています.
" a capability or team that provides services and support to a defined constituency for preventing, handling and responding to computer security incidents."
(Defining Incident Management Processes for CSIRTs : A Work in Progress, CERT/CC)
CSIRTには,主に以下の条件が必要だと考えられています.
また,RFC2350には,CSIRTの期待される活動形態が整理されています.
http://www.ietf.org/rfc/rfc2350.txt
なお,CSIRTの定義と解説については,以下のWebページが参考になります.
http://www.cert.org/csirts/csirt_faq.html
様々な考えがあると思いますが,侵入やウィルス感染などの重大なもののみならず,ポートスキャン,脆弱性探索なども含めて,コンピュータセキュリティに関して,何らかの対応や判断が必要だと思われるものはすべてインシデントだと考えます.
JPCERT/CCでは以下のように定義しています.
" コンピュータセキュリティに関係する人為的事象で意図的および偶発的なもの(その疑いがある場合)を含みます.例えば,リソースの不正使用,サービス妨害行為,データの破壊,意図しない情報の開示や,更にそれらに至るための行為(事象)などがあります."
(JPCERT/CCに関するFAQ,JPCERT/CC)
事前防御的なセキュリティ対策だけでは,全てのインシデントを未然に防止することができません.また,ビジネスプロセスや情報システムは,ネットワークを介して複数の組織やシステム間で相互に依存しているため,単一の組織や担当では,有効なセキュリティ対策を実施することは困難です.
CSIRTs は,すでに発生してしまったインシデントの情報を流通させること,また,組織間の調整や共同作業を円滑に推進することにより,インシデント発生時の被害を局限化したり,同様のインシデントが再発することを未然に防ぐことを目的としています.コンピュータセキュリティインシデントに関連した情報を定常的に収集・分析することにより,報告者に対して必要な対策をタイムリーに明示することができます.
機密性の高い情報を取り扱いながら,内外の組織と密な情報交換と連携を行う業務には,一般的な組織よりも厳格な情報管理が求められます.そのため,CSIRTという組織が必要になります.また,情報管理のできる組織という属性が,CSIRTが世の中から信頼される理由の一つでもあります.
Forum of Incident Response and Security Teamsの略で,世界中のCSIRTとセキュリティチームの集まりです.昨今のワームやウィルスに代表されるように,コンピュータセキュリティに関わる問題は,1つの組織では対応できません.組織や国,地域を越えた枠組として1990年に11の組織で設立されました.
以下にFIRSTのミッションステートメントを引用します.
* FIRST is an international confederation of trusted computer incident response teams who cooperatively handle computer security incidents and promote incident prevention programs.
* FIRST members develop and share technical information, tools, methodologies, processes and best practices.
* FIRST encourages and promotes the development of quality security products, policies & services.
* FIRST develops and promulgates best computer security practices.
* FIRST promotes the creation and expansion of Incident Response teams and membership from organizations around the world.
* FIRST members use their combined knowledge, skills and experience to promote a safer and more secure global electronic environment.
(About FIRST, FIRST)
コンピュータセキュリティインシデントに対応するためには一つの組織では対応できません.問題解決のために今のNTTに必要なものは内部だけではなく外部との連携,情報交換です.このような情報交換の場としてはFIRSTは最適なものといえます.なぜなら,以下のメリットがあるからです.