シーサートとは何か中小企業に必要な役割と初動対応

2026年5月4日

丸山桃子

シーサートとは何かを一言でいうと、サイバー攻撃や情報漏えいなどのセキュリティ事故に備え、発生時に対応を指揮する組織またはチームです。結論から言うと、中小企業でも「専任部署を大きく作る」必要はありませんが、誰が検知し、誰が止め、誰が社外へ連絡し、誰が復旧判断をするのかは、事故前に決めておくべきです。セキュリティ対策はツールを入れて終わりではなく、起きた後に事業を止めない運用設計まで含めて初めて機能します。この記事では、CSIRTの基本、SOCとの違い、設置ステップ、必要スキル、外注の使い分けまで、中小企業が現実的に動ける形で整理します。

シーサートとは何か

シーサートとは、CSIRTの読み方で、Computer Security Incident Response Teamの略です。日本語では「コンピュータセキュリティインシデント対応チーム」と訳されます。役割は、マルウェア感染、不正アクセス、情報漏えい、Webサイト改ざん、ランサムウェア、内部不正、委託先からの事故連絡などが起きたときに、被害拡大を止め、原因を調べ、復旧と再発防止を進めることです。

大企業では専任チームとしてCSIRTを置くことがありますが、中小企業では専任者を何人も置くのは現実的ではありません。そこで重要になるのが、兼務型のCSIRTです。情報システム担当、総務、経営者、法務、広報、現場責任者、外部ベンダーを含めて「事故時の対応体制」を作る。これも立派なCSIRTです。むしろ、形式だけの専門部署より、誰が何をするか決まっている小さな体制の方が機能します。

インシデント対応の司令塔

CSIRTは、セキュリティ事故の「司令塔」です。現場が慌ててパソコンの電源を切る、営業が顧客へ先に謝る、経営者が状況を把握しないまま復旧を急がせる。こうしたバラバラの対応は、被害を広げることがあります。CSIRTは、まず事実確認を行い、被害範囲を切り分け、緊急度を判断し、関係者へ指示を出します。

アパレルECでいえば、在庫トラブルが起きたときに、倉庫、カスタマーサポート、広告担当、店舗担当が別々に動くと混乱します。欠品なのか、誤出荷なのか、システム在庫のズレなのかを切り分けないまま謝罪や再販をすると、さらにクレームが増えます。セキュリティ事故も同じです。まず状況を正しく見る。そのための体制がCSIRTです。

中小企業にも必要な理由

中小企業にCSIRTが必要な理由は、攻撃者が企業規模で遠慮してくれないからです。ランサムウェア、フィッシング、取引先を装ったメール、脆弱なリモートアクセス、古いサーバー、漏れたIDとパスワードの悪用は、規模に関係なく起きます。むしろ中小企業は、専任IT担当が少ない、ログが残っていない、バックアップが不十分、復旧手順が未整備という弱点を抱えやすいです。

セキュリティは「大企業の話」と思われがちですが、取引先から見れば、中小企業もサプライチェーンの一部です。大手企業の委託先、EC運営会社、制作会社、物流会社、会計事務所、クリニック、士業事務所などが侵害されると、顧客情報や取引情報に影響します。中小企業のCSIRTは、豪華な設備ではなく、事故時に止まらない連絡網と判断ルールから始めるのが現実的です。

CSIRTが担う主な役割

CSIRTの役割は、事故が起きた瞬間だけではありません。平時の準備、検知、初動対応、封じ込め、復旧、原因分析、報告、再発防止までを見ます。よくある誤解は、CSIRTを「詳しい人がウイルスを消すチーム」と考えることです。実際には、技術対応だけでなく、経営判断、顧客対応、法令対応、広報、委託先管理まで関わります。

中小企業では、CSIRTの役割を広げすぎると動けなくなります。最初は、事故受付、緊急連絡、被害切り分け、外部専門家への連絡、復旧判断、記録管理の6つに絞るとよいです。やることを増やすより、最低限の行動を確実に実行できる方が重要です。

NRIセキュアでは技術と経験・ノウハウに裏打ちされた情報セキュリティ専門家が、CSIRTの構築・運用・評価をワンストップでサポート可能な、総合支援サービスとして、『CSIRT構築支援』『CSIRT運用支援』『CSIRT評価支援』の３つの支援サービスを提供しています。

平時の準備

平時の準備では、資産一覧、システム構成図、アカウント管理、バックアップ、ログ保存、連絡先、委託先一覧を整えます。事故が起きた後に「どのサーバーに何が入っているか分からない」「管理者権限を持つ人が退職していた」「バックアップの戻し方を誰も試したことがない」となると、復旧は一気に難しくなります。

まず作るべきなのは、難しい規程集ではなく、事故時に見る1枚の連絡表です。社内責任者、IT担当、経営者、顧問弁護士、保守ベンダー、クラウド事業者、サイバー保険窓口、所管官庁や相談窓口をまとめます。古い連絡先は事故時に役に立ちません。四半期に1回は確認するのがおすすめです。

発生時の初動対応

発生時の初動では、被害拡大を止めることと証拠を残すことのバランスが重要です。怪しい端末をネットワークから切り離す、感染が疑われるアカウントのパスワードを変更する、ログを保全する、関係者へ連絡する、外部公開サービスの状態を確認する。ここで焦って端末を初期化すると、原因調査に必要な証拠が消えることがあります。

初動対応は、手順書がないと人によって判断がぶれます。たとえば「不審メールを開いた」「取引先から迷惑メールが届いたと言われた」「ECサイトでカード情報流出の疑いがある」「ファイルが暗号化された」など、想定シナリオごとに連絡先と初手を決めておくと、現場は動きやすくなります。

SOCやPSIRTとの違い

CSIRTと混同されやすいのがSOCです。SOCはSecurity Operation Centerの略で、ログ監視や脅威検知を担う組織を指します。CSIRTがインシデント対応の司令塔だとすると、SOCは異常を見つける監視センターに近い役割です。もちろん企業によって役割分担は異なりますが、「監視する人」と「事故対応を指揮する人」を分けて考えると理解しやすいです。

SOCは、企業・組織のシステムやネットワークを24時間365日監視し、セキュリティインシデントの検知・分析を担当するセキュリティ部門です。

SOCは監視、CSIRTは対応設計

SOCは、ファイアウォール、EDR、SIEM、クラウドログ、認証ログなどを監視し、不審な兆候を検知します。24時間365日監視が必要な企業では、SOCを外注するケースもあります。一方、CSIRTは、SOCからのアラートを受けて、業務影響を判断し、誰に連絡し、どのシステムを止めるかを決めます。

中小企業では、SOCを自社で持つのは難しいことが多いです。その場合、監視は外部サービスに任せ、CSIRTは社内の判断体制として持つ形が現実的です。関連する費用感や外注の見方は、【SOC運用外注費用】24時間365日の監視体制！SOCアウトソーシングの相場と選び方で整理しています。監視を外注しても、経営判断まで外注できるわけではありません。

PSIRTは製品セキュリティの対応組織

PSIRTはProduct Security Incident Response Teamの略で、自社製品やサービスの脆弱性対応を担う組織です。ソフトウェア、IoT機器、SaaS、アプリケーションを提供している企業では、利用者から脆弱性報告を受け、修正し、告知し、再発防止を行う必要があります。CSIRTが社内のセキュリティ事故対応を広く扱うのに対し、PSIRTは製品利用者への影響を重視します。

中小の開発会社やEC事業者でも、Webアプリや会員システムを持つならPSIRT的な機能は必要です。名前を付けるかどうかより、脆弱性報告を受けたときの窓口、修正判断、公開告知、顧客連絡が決まっているかが重要です。ここが曖昧だと、善意の報告者を放置したり、修正前に情報が広がったりします。

中小企業がCSIRTを作るステップ

中小企業がCSIRTを作る手順は、いきなり専任部署を作ることではありません。まず、守るべき資産を洗い出し、事故の種類を想定し、責任者を決め、連絡網を作り、初動手順を作り、訓練する。この順番です。最初から完璧な体制を目指すと、規程だけ増えて運用されません。

おすすめは、30日で最低限の形を作ることです。初週に資産とリスクを整理し、次週に役割を決め、3週目に初動手順を作り、4週目に机上訓練をする。大規模なセキュリティ投資より、まずは「事故が起きたときに誰も黙らない状態」を作る方が効果的です。

資産とリスクを棚卸しする

最初のステップは、何を守るのかを決めることです。顧客情報、決済情報、社員情報、取引先情報、設計データ、EC管理画面、SNSアカウント、メール、会計データ、クラウドストレージなどを一覧化します。アパレルECなら、EC管理画面、商品画像、顧客リスト、在庫データ、広告アカウント、InstagramやTikTokのアカウントも重要資産です。

私の体験では、EC運営支援で一番怖いのは、売上データよりもアカウント権限の散らばりです。退職者が広告アカウントの管理者のまま、外部スタッフが共有IDを使い回し、二段階認証が個人スマホに紐づいている。おしゃれなブランドサイトでも、裏側がこの状態だと事故対応はかなり難しいです。CSIRTの出発点は、こうした現実の棚卸しです。

役割と権限を決める

次に、誰が何を判断できるかを決めます。インシデント対応責任者、技術担当、現場連絡担当、顧客対応担当、広報担当、法務・個人情報保護担当、経営判断者を置きます。人数が少ない会社では兼務で構いません。ただし、兼務でも役割名は明確にしてください。

特に重要なのは、システム停止や外部公表の判断です。現場担当者が勝手に止めると業務に影響しますが、経営者が判断を遅らせると被害が広がります。どの条件なら即時停止するのか、どの条件なら保守ベンダーへ連絡するのか、どの条件なら顧客連絡や監督官庁への相談を検討するのか。ここを事前に決めると、事故時の迷いが減ります。

初動手順書を作る

初動手順書は、長い文書である必要はありません。むしろ、事故時に読める短さが大切です。必要なのは、発見者がやること、やってはいけないこと、連絡先、証拠保全、一次切り分け、外部連絡の判断基準です。たとえば不審メールの場合は、メールを削除しない、添付ファイルを開かない、転送ではなくヘッダー情報を含めて保全する、IT担当へ連絡する、といった具体性が必要です。

ランサムウェア疑いなら、ネットワーク切断、感染端末の電源状態の扱い、共有フォルダの確認、バックアップの隔離、保守ベンダーへの連絡が入ります。Web改ざんなら、公開停止判断、改ざん箇所の保存、管理画面ログ確認、脆弱性調査、利用者影響の確認が必要です。手順書は、想定シナリオごとに作ると使いやすくなります。

CSIRTに必要なスキル

CSIRTに必要なスキルは、技術だけではありません。ログを読む力、ネットワークやクラウドの基礎、脆弱性の理解、マルウェアやフィッシングの知識、証拠保全、法務、広報、顧客対応、プロジェクト管理が必要です。とはいえ、中小企業で全員が高度な専門家になる必要はありません。社内で持つべきスキルと、外部に頼るスキルを分けることが現実的です。

社内に必要なのは、異常に気づく力、連絡する力、記録する力、判断をエスカレーションする力です。外部専門家に頼るべきなのは、フォレンジック、マルウェア解析、侵入経路調査、EDRやSIEMの高度な分析、法的判断、広報文面のレビューなどです。全部を内製化しようとすると、コストも教育負担も重くなります。

技術スキル

技術スキルとしては、WindowsやmacOSの基本、ネットワーク、認証、クラウド、メール、Webアプリ、ログ、バックアップの理解が必要です。特に中小企業では、Microsoft 365、Google Workspace、VPN、NAS、ECカート、WordPress、会計ソフト、SNSアカウントが関係することが多いです。事故時にどこを見ればよいかを知っているだけでも、初動の質は変わります。

脆弱性診断を自社で試すなら、範囲と責任を明確にする必要があります。関連する実践記事として、OWASP ZAPの使い方を扱う[脆弱性診断ツール自製] オープンソースで始めるWebサイト脆弱性診断｜OWASP ZAPの使い方ガイドがあります。診断ツールは便利ですが、実行先を間違えると業務停止や規約違反につながります。正直なところ、ここを軽く見るのはかなり危ないです。

非技術スキル

非技術スキルでは、記録、説明、調整が重要です。いつ、誰が、何を発見し、どの端末で、どのログがあり、誰に連絡し、どんな判断をしたのか。これを時系列で残せないと、後から原因分析も報告もできません。セキュリティ事故の対応は、技術対応であると同時に、意思決定の記録でもあります。

文章力も軽視できません。顧客への連絡、社内報告、委託先への確認、監督官庁への相談、プレスリリースの草案など、事故時には誤解のない文章が求められます。@SOHOの資格ガイドでは、正確な文書作成の基礎を確認できるビジネス文書検定があります。ネットワークの基礎を固めたい人には、CCNA（シスコ技術者認定）も学習範囲の目安になります。

CSIRT運用で失敗しやすいポイント

CSIRT運用で失敗しやすいのは、名簿だけ作って訓練しないこと、ログが取れていないこと、外部ベンダーとの連絡条件が曖昧なこと、経営者が関与しないことです。セキュリティ体制は、文書を作った瞬間ではなく、事故時に人が動けた瞬間に価値が出ます。体制図がきれいでも、休日の不正アクセスに誰も気づかなければ意味がありません。

また、CSIRTを情報システム担当だけに押し付けるのも失敗パターンです。個人情報漏えいなら顧客対応が必要です。EC停止なら売上と広告運用に影響します。SNSアカウント乗っ取りならブランド毀損に直結します。セキュリティはIT部門の話でありながら、事業全体の話です。

訓練しない手順書は使えない

手順書は作っただけでは使えません。少なくとも年1回、できれば半期に1回は机上訓練を行いましょう。シナリオは難しくなくて構いません。「経理担当が不審メールの添付ファイルを開いた」「ECサイトの管理画面に海外IPからログインがあった」「共有フォルダのファイル名が一斉に変わった」など、現実的なものがよいです。

訓練では、誰が最初に気づくか、どこへ連絡するか、ログは誰が見るか、業務停止判断は誰がするか、顧客連絡は誰が書くかを確認します。訓練後に手順書を直すことが本番です。完璧にできたかより、詰まった箇所を見つけることに価値があります。

予算ゼロで済ませようとしない

CSIRTは必ずしも高額なツールから始める必要はありませんが、予算ゼロで済ませるのも危険です。バックアップ、EDR、メールセキュリティ、ログ保存、脆弱性診断、訓練、外部相談、サイバー保険など、最低限の費用は必要になります。中小企業向けの支援策を探すなら、小規模事業者のためのセキュリティ補助金ガイド2026｜実質2割で鉄壁の防御のように補助金の考え方を確認するのも一つです。

ただし、補助金ありきで不要なツールを買うのはおすすめしません。先に決めるべきなのは、守る資産、リスク、対応手順です。そのうえで足りない機能を補う。ECで在庫管理の課題が分からないまま高機能な倉庫システムを入れても使いこなせないのと同じです。セキュリティ投資も、課題から逆算します。

外注と内製の使い分け

中小企業がCSIRTを運用するなら、外注と内製の使い分けがポイントです。内製すべきなのは、事業影響の判断、社内連絡、顧客との関係、業務停止や復旧の意思決定です。外注しやすいのは、SOC監視、脆弱性診断、フォレンジック、マルウェア解析、EDR運用、セキュリティ教育、規程整備支援です。

外注先を選ぶときは、料金だけでなく、対応時間、一次受付、報告書の分かりやすさ、緊急時の連絡方法、契約範囲、NDA、再委託の有無を確認してください。セキュリティ事故は、平日昼間だけに起きるとは限りません。24時間365日対応が必要か、営業時間内で十分かは、事業の重要度で決めます。

外注しても責任は残る

外部のセキュリティ会社に依頼しても、最終責任は自社に残ります。顧客へ何を説明するか、サービスを止めるか、復旧をいつ宣言するか、取引先へどう連絡するかは、経営判断です。外注先は技術的な助言や調査をしてくれますが、事業判断の代行者ではありません。

外注契約では、インシデント時の追加費用も確認してください。月額の監視費用は安くても、緊急対応やフォレンジックで別途高額になることがあります。発注前に、平時の費用と有事の費用を分けて見積もるべきです。これを見ないまま契約すると、事故時に予算承認で止まります。

フリーランス活用の注意

CSIRT整備では、フリーランスのセキュリティエンジニア、技術ライター、業務改善コンサル、クラウド運用者を活用する場面もあります。手順書作成、資産台帳整理、訓練シナリオ作成、ログ確認の補助、社内教育資料の作成などは、外部人材と相性がよい領域です。

ただし、セキュリティ領域は機密情報を扱います。NDA、アクセス権限、作業範囲、ログの持ち出し禁止、成果物の所有権、再委託禁止、連絡方法を明確にしてください。安さだけで選ぶのは危険です。セキュリティの外注は、信頼と証跡がセットです。

CSIRTの整備は、セキュリティ部門だけで完結する仕事ではありません。AI活用、マーケティング、EC、アプリケーション開発、文章作成、業務改善が交差します。@SOHOのお仕事ガイドでは、業務改善やAI導入を支援するAIコンサル・業務活用支援のお仕事、AI、マーケティング、セキュリティ領域の案件を横断的に整理したAI・マーケティング・セキュリティのお仕事、Webサービスや業務システムの構築に関わるアプリケーション開発のお仕事があります。CSIRT構築の周辺には、こうした複数職種の仕事が発生します。

たとえば、技術担当はログやネットワークを見る。ライターは手順書や顧客向け文面を整える。業務改善担当は連絡フローを作る。開発者は脆弱性修正や権限管理を見直す。マーケティング担当はSNS乗っ取り時のブランド対応を設計する。CSIRTは、専門家だけの閉じたチームではなく、事業を守るための横断チームです。

年収相場と仕事領域

CSIRTやセキュリティ関連の仕事を目指す人は、職種別の相場も見ておくと現実的です。@SOHOの年収データベースには、開発職の単価感を確認できるソフトウェア作成者の年収・単価相場があります。セキュリティエンジニアは開発、インフラ、クラウド、監視、運用の知識が重なるため、開発職の相場は一つの参考になります。

一方、CSIRTでは文章化の仕事も多く発生します。報告書、手順書、社内周知、顧客連絡、訓練資料、FAQ整備などです。文章や編集の仕事を考える人には、著述家，記者，編集者の年収・単価相場も参考になります。セキュリティを分かりやすく伝える力は、技術そのものとは別の専門性です。

手数料と継続運用を見落とさない

ただし、手数料だけで選ぶのは不十分です。セキュリティ領域では、実績、守秘義務、報告品質、緊急時の対応可否が重要です。CSIRTは作って終わりではなく、事故が起きる前提で育てる体制です。中小企業なら、まず小さく役割を決め、外部の力を借りながら、訓練で改善する。この現実的な運用こそが、シーサートとは何かを理解したうえで最初に取るべき行動です。