CSIRTサービスを体系化したフレームワーク「FIRST CSIRT Services Framework v2.1 日本語版」 ~日本シーサート協議会が公開

日本シーサート協議会は、CSIRT(Computer Security Incident Response Team)の役務(サービス)を体系的にまとめた「FIRST CSIRT Services Framework v2.1 日本語版」を3月に公開した。

世界のCSIRT組織が参加するFIRST (Forum of Incident Response and Security Teams)の「FIRST CSIRT Services Framework v2.1」の日本語版で、CSIRTが検討すべきサービスを体系立てて一覧化したフレームワークである。企業・組織のCSIRTチームが、自社・自組織のサービス内容を作成・拡張・改善する際に大いに活用できそうである。原書の発行は2019年11月。原書66ページ、日本語版95ページ。

**CSIRT:セキュリティ・インシデントを防止・検知・対応・防御・管理する専門能力をもつ組織・チーム

「FIRST CSIRT Services Framework v2.1 日本語版」のCSIRTサービスのためのフレームワークは、「サービスエリア」 → 「サービス」 → 「機能」 → 「サブ機能」という4つの要素で構成されている。

「サービスエリア」は、性質の共通した関連サービスをグループ化したもの。「サービス」は特定の成果を出すための一連の機能を明記したもので、次のテンプレートで詳述される。

 • サービスの性質を記述する「説明」フィールド
 • サービスの趣旨を記述する「目的」フィールド
 • サービスの測定可能な成果を記述する「成果」フィールド

「機能」は、特定のサービスの目的達成を目標とした活動を明記したもので、次のテンプレートで詳述される。

 • 機能の説明を記述する「説明」フィールド
 • 機能の趣旨を記述する「目的」フィールド
 • 機能の測定可能な成果を記述する「成果」フィールド

「サブ機能」は、特定の機能の目的達成を目標とする活動で、以下のテンプレートでも説明される。ただし、サブ機能は完全に記述されず、簡単な特徴だけが述べられている。

 • サブ機能の説明を記述する「説明」フィールド
 • サブ機能の趣旨を記述する「目的」フィールド
 • サブ機能の測定可能な成果を記述する「成果」フィールド

上記フレームワークのサービスエリアとサービス内容を明記したのが下図である。

 

CSIRT サービス・フレームワークのサービスエリアとサービス

 

「FIRST CSIRT Services Framework v2.1 日本語版」の目次は以下のとおり。

1 目的
2 イントロダクションおよび背景
3 CSIRT とPSIRT の違い
4 CSIRT サービス・フレームワークの構造

5 サービスエリア:情報セキュリティイベントマネジメント
5.1 サービス:監視と検知
5.2 サービス:イベント分析

6 サービスエリア:情報セキュリティインシデントマネジメント
6.1 サービス:情報セキュリティインシデント報告の受付
6.2 サービス:情報セキュリティインシデントの分析
6.3 サービス:アーティファクトとフォレンジック痕跡の分析
6.4 サービス:緩和と回復
6.5 サービス:情報セキュリティインシデントの調整
6.6 サービス:危機管理支援

7 サービスエリア:脆弱性管理
7.1 サービス:脆弱性の発見・調査
7.2 サービス:脆弱性報告の取得
7.3 サービス:脆弱性分析
7.4 サービス:脆弱性の調整
7.5 サービス:脆弱性の開示
7.6 サービス:脆弱性対応

8 サービスエリア:状況把握
8.1 サービス:データ取得
8.2 サービス:分析と統合
8.3 サービス:コミュニケーション

9 サービスエリア:知識移転
9.1 サービス:啓発
9.2 サービス:トレーニングと教育
9.3 サービス:演習
9.4 サービス:技術およびポリシーに関するアドバイス

ANNEX 1: 謝辞
ANNEX 2: 用語と定義

 

・FIRST CSIRT Services Framework v2.1 日本語版 
・日本シーサート協議会 
・FIRST (Forum of Incident Response and Security Teams)

[i Magazine・IS magazine]

More Posts