STIX/TAXIIは、組織間の脅威インテリジェンスの共有と連携を促進するための世界共通の取り組みです。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
STIX/TAXIIは、サイバー脅威の軽減と予防を目的とした世界的な取り組みです。この組織は米国国土安全保障省(DHS)が2016年12月に立ち上げたもので、現在はインターネットのオープンスタンダードの開発、普及、統合を進める非営利団体であるOASISの下で管理されています。
脅威情報構造化記述形式(STIX)は、JSONベースの辞書を使用して、脅威インテリジェンスの情報を、可読性のある一貫した形式で表現し共有するための標準化言語です。共通言語があれば、世界のさまざまな地域の人々がコミュニケーションできるのと同じような機能です。人と人との会話の代わりに、STIXはシステム間でサイバー脅威の情報を交換することができます。STIXは、ユーザーが一貫性を持って脅威に関する動機、能力、性能、対応について記述できるように、共通の構文を提供します。
TAXII(Trusted Automated eXchange of Intelligence Information)は、脅威インテリジェンスデータを伝達するためのフォーマットです。TAXIIは、HTTPS(Hyper Text Transfer Protocol Secure)を介してSTIXインサイトを転送することをサポートするトランスポートプロトコルです。
重要なポイントは、STIXとTAXIIは独立した規格であるということです。STIXは特定のトランスポート方式に依存せず、TAXIIはSTIX以外の情報およびデータのトランスポートに使用することができます。
STIX/TAXIIを併用することで、脅威インテリジェンスの共有と活用のためのフレームワークが形成され、悪意のあるIPアドレス、マルウェアシグネチャ、サイバー脅威の攻撃者など、攻撃ベクトルの詳細を含むレコードを検索できるオープンソースプラットフォームとなります。
STIXは、脅威指標、インシデント、データ漏洩を記述するための共通の言語を提供することで機能します。STIXは、XMLエディタ、Pythonバインディング、Javaバインディング、Python APIおよびユーティリティを通じて、手動またはプログラムで使用することができます。データはSTIXパッケージに整理され、ファイル交換、API、脅威インテリジェンスプラットフォームへの公開など、さまざまな方法で共有されます。
また、STIXは推奨される語彙とデータモデルを提供し、共通の脅威のタイプや構造を組織が記述しやすくなっています。
TAXIIを機能させる場合、メッセージフォーマット、通信プロトコル、セキュリティ要件など、データ交換用プロトコルを定義します。
TAXIIのキーコンセプトは、「コレクション」と「チャネル」の2つです。コレクションは、セキュリティベンダーや政府機関など、単一のエンティティによって編成・管理されるSTIXパッケージのセットです。チャネルは、API、ファイル交換、脅威インテリジェンスプラットフォームなどにより、組織が特定のコレクションにアクセスすることを可能にします。チャネルにより、ユーザーは複数のコンシューマーにデータをプッシュすることができます。
STIX/TAXIIは、サイバー脅威を検出、対処、予防する能力を向上させることで、組織の全体的なセキュリティ体制を強化するために重要です。
STIX/TAXIIでは、以下のことが可能です:
STIX/TAXIIは登場以来、世界中の機関が利用しており、オンライン脅威への理解を深めています。脅威インテリジェンスデータの交換にSTIX/TAXIIフレームワークを使用する方法は、いくつかあります。
Cloudforce Oneは、脅威攻撃者を追跡して無力化するために作られた脅威オペレーションおよび調査チームです。このチームの高度な脅威インテリジェンス能力により、脅威リスクのあるすべてのエンティティを包括的にカバーし、組織が先手を打って、脅威が損害を与える前に対策を講じることができるようになります。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集
ラーニングセンターナビゲーション