最近の情報セキュリティ事故の発生動向を鑑みると、組織における情報セキュリティ対策において、対症療法的対応だけで終り、必要以上の対策が講じられることが多い場合があります。
そのため、適切なインシデントの発生予防に加え、インシデントが発生した際の 被害の最小化及び局限化（拡大防止）、そして迅速に回復する組織能力 を確保しておくことが重要です。
規模の大きい会社や、事業活動におけるインターネットにかかるセキュリティの重要性が大きい事業者を中心に事後対応体制の準備が進んでいます。

1988年、米国において、モリスワームというワームが、今で言うところのインターネットで発生し、当時のネットワーク全体に多大な被害を与えました。
その後、対策を検討した結果、このようなインシデントに対して、相互協力（情報共有、連携対応等）できる体制の必要性が高まり、1988年11月、利害関係者間の連絡調整におけるセンターとして、CERT/CCが発足。主要なセキュリティインシデントの対応及びプロダクト製品の脆弱性分析を主として、その役割は拡大しており、世界で初めてのCSIRTです。

• コンピュータセキュリティインシデントに関する通知を受け取り、レビューする責任を負い、適切なレスポンスをと活動をするサービス提供型の組織体（チーム）のこと
• CSIRT が提供するサービスは、あらかじめ定義された対象に対して提供される
• 恒常的に設置されたチームと、アドホックチームがある

一般的な CSIRT の活動

• 発生した問題を報告するための統一的窓口を提供
• 何が発生しているのかを認知及び分析をする（影響や脅威の程度を含む）
• 解決及び被害局限化のための戦略をリサーチ
• レスポンスの選択肢、知見、教訓に関する情報共有

CSIRT の達成すべき目標（ゴール）

• ダメージを局限化しコントロールする
• 有用なレスポンスと復旧の支援を提供する
• 再発抑制の支援を提供する

インシデントレスポンスの考え方

コンピュータセキュリティインシデントの定義

• それぞれの組織毎によって定義が異なる
• 現場依存

コンピュータセキュリティインシデントの定義の例

• コンピュータシステム或いはネットワークシステムに関連する不都合なイベント
• 明示的或いは暗黙的なセキュリティポリシーに違反する行為

関連情報の集約と効率的活用

情報共有、効率化、ノウハウ蓄積 → インシデントに強い組織へ

組織のセキュリティレベルの向上及び適正化

再発防止策のフィードバックによるセキュリティレベルの自主基準の策定

社内外に向けたメッセージ

顧客、取引先、関係機関等に対する「安全・安心」の信頼獲得

他組織との連携

CSIRT 間の連携から得た知見や情報で解決困難な問題が対処可能に

ビジネスへの展開

CSIRT の機能や経験を活かしたサービスを新規ビジネスの検討材料に