セキュリティインシデントが発生した際に対応するチームであるCSIRTの業務は、脆弱性情報などの収集と分析、インシデント発生時の対応、社内外の組織との情報共有や連携などが挙げられます。

昨今、不正アクセスをはじめとするサイバー攻撃の手法は多様化、高度化しており、これらの脅威に立ち向かうCSIRTの活動は多岐に渡ります。インシデントが発生した非常時には通知を受け取る窓口として機能し、その状況を他のセキュリティ関連組織と連携しつつ、システムの停止、復旧対応、原因究明、再発防止などを担います。さらに平常時もインシデント防止のための情報収集やセキュリティ対策の導入、情報リテラシーの底上げを目的とした従業員教育などを行います。

CSIRT と同じくSOC（Security Operation Center）もセキュリティ関係のチームです。しかし、両署の役割には明確な違いがあります。被害が起きる前の検知や対策に重点を置くSOCに対し、CSIRTは被害が起きた後の対応を中心に行います。SOCと同様に、CSIRTにおいても適切に役割を果たしていくためには、高いレベルのセキュリティスキルが必要となります。インシデント発生時にはさまざまな社内調整が発生するほか、広報業務なども担う必要があり、完全にアウトソースするのは容易なことではありません。そのため、セキュリティベンダーなどが提供するCSIRTの構築・運用支援サービスを利用して必要なスキルを補いつつ、社内でCSIRTを運営・運用する体制を構築する企業が増えています。