STIX/TAXIIとは?

STIX/TAXIIは、組織間の脅威インテリジェンスの共有と連携を促進するための世界共通の取り組みです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • STIX/TAXIIを定義する
  • STIX/TAXIIの一般的なユースケースを説明する
  • STIX/TAXIIがサイバー脅威の軽減と予防をどのように向上させるかを知る

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

STIX/TAXIIとは?

STIX/TAXIIは、サイバー脅威の軽減と予防を目的とした世界的な取り組みです。この組織は米国国土安全保障省(DHS)が2016年12月に立ち上げたもので、現在はインターネットのオープンスタンダードの開発、普及、統合を進める非営利団体であるOASISの下で管理されています。

脅威情報構造化記述形式(STIX)は、JSONベースの辞書を使用して、脅威インテリジェンスの情報を、可読性のある一貫した形式で表現し共有するための標準化言語です。共通言語があれば、世界のさまざまな地域の人々がコミュニケーションできるのと同じような機能です。人と人との会話の代わりに、STIXはシステム間でサイバー脅威の情報を交換することができます。STIXは、ユーザーが一貫性を持って脅威に関する動機、能力、性能、対応について記述できるように、共通の構文を提供します。

TAXII(Trusted Automated eXchange of Intelligence Information)は、脅威インテリジェンスデータを伝達するためのフォーマットです。TAXIIは、HTTPS(Hyper Text Transfer Protocol Secure)を介してSTIXインサイトを転送することをサポートするトランスポートプロトコルです。

重要なポイントは、STIXとTAXIIは独立した規格であるということです。STIXは特定のトランスポート方式に依存せず、TAXIIはSTIX以外の情報およびデータのトランスポートに使用することができます。

STIX/TAXIIを併用することで、脅威インテリジェンスの共有と活用のためのフレームワークが形成され、悪意のあるIPアドレス、マルウェアシグネチャ、サイバー脅威の攻撃者など、攻撃ベクトルの詳細を含むレコードを検索できるオープンソースプラットフォームとなります。

STIXの仕組みは?

STIXは、脅威指標、インシデント、データ漏洩を記述するための共通の言語を提供することで機能します。STIXは、XMLエディタ、Pythonバインディング、Javaバインディング、Python APIおよびユーティリティを通じて、手動またはプログラムで使用することができます。データはSTIXパッケージに整理され、ファイル交換、API、脅威インテリジェンスプラットフォームへの公開など、さまざまな方法で共有されます。

また、STIXは推奨される語彙とデータモデルを提供し、共通の脅威のタイプや構造を組織が記述しやすくなっています。

TAXIIの仕組みは?

TAXIIを機能させる場合、メッセージフォーマット、通信プロトコル、セキュリティ要件など、データ交換用プロトコルを定義します。

TAXIIのキーコンセプトは、「コレクション」と「チャネル」の2つです。コレクションは、セキュリティベンダーや政府機関など、単一のエンティティによって編成・管理されるSTIXパッケージのセットです。チャネルは、API、ファイル交換、脅威インテリジェンスプラットフォームなどにより、組織が特定のコレクションにアクセスすることを可能にします。チャネルにより、ユーザーは複数のコンシューマーにデータをプッシュすることができます。

STIX/TAXIIはなぜ重要ですか?

STIX/TAXIIは、サイバー脅威を検出、対処、予防する能力を向上させることで、組織の全体的なセキュリティ体制を強化するために重要です。

STIX/TAXIIでは、以下のことが可能です:

  1. 脅威インテリジェンスの共有の向上:STIX/TAXIIは、組織が脅威情報を共有・交換するための共通言語を提供します。
  2. 脅威の検知と対応を強化:脅威データの標準的な表現方法を使用して、組織は脅威の検出、分析、対応を自動化することができます。
  3. インテリジェンスの正確性の向上:STIX/TAXIIのフレームワークは、脅威インテリジェンスデータの一貫性、網羅性、そして正確性を確保します。これにより、脅威インテリジェンスデータの品質と有用性が向上します。
  4. コラボレーションの促進:組織が安全かつ拡張性の高い方法でデータを共有できるため、組織間のコラボレーションや情報共有が促進されます。
  5. 自動化サポート:STIX/TAXIIの共通言語と標準の使用により、組織は脅威の検出、分析、対応プロセスの自動化を容易にし、結果として効率を向上させ、人的ミスのリスクを低減させることができます。

STIX/TAXIIはどのように使われていますか?

STIX/TAXIIは登場以来、世界中の機関が利用しており、オンライン脅威への理解を深めています。脅威インテリジェンスデータの交換にSTIX/TAXIIフレームワークを使用する方法は、いくつかあります。

  1. 脅威インテリジェンスプラットフォーム:組織は、脅威インテリジェンスデータを共有・交換するための中央リポジトリとして機能する脅威インテリジェンスプラットフォームを通じて、STIXデータを公開したりアクセスしたりすることができます。
  2. API統合:脅威アナリストは、APIを使用して他のセキュリティツールやシステムとデータを交換することができます。
  3. ファイル交換:組織はSTIXパッケージをファイルとして交換することができ、システム間で簡単にデータを交換することができます。
  4. リアルタイムのデータフィード:TAXIIを活用することで、アナリストチームはプロバイダーからのリアルタイムのデータフィードを購読することができます。
  5. 脅威ハンティング:セキュリティアナリストは、STIX/TAXIIを使用して脅威インテリジェンスデータを整理・検索することで、脅威の特定や調査のサポートを容易に行えます。
  6. 脅威検出の自動化:セキュリティーチームは、STIX/TAXIIを利用して脅威検出プロセスを自動化することで、新たな脅威を迅速に特定し対応できるようになります。

Cloudforce One

Cloudforce Oneは、脅威攻撃者を追跡して無力化するために作られた脅威オペレーションおよび調査チームです。このチームの高度な脅威インテリジェンス能力により、脅威リスクのあるすべてのエンティティを包括的にカバーし、組織が先手を打って、脅威が損害を与える前に対策を講じることができるようになります。