検知指標情報自動交換手順TAXII概説

最終更新日：2018年5月31日

独立行政法人情報処理推進機構
セキュリティセンター

TAXII(Trusted Automated eXchange of Indicator Information)
～サイバー攻撃活動の情報を交換するための仕様～

サイバー攻撃活動の情報を交換するためには、情報交換の手順として、サービスを定義し、サービスで使用する転送手順やメッセージ仕様などを決める必要があります。検知指標情報自動交換手順TAXII(Trusted Automated eXchange of Indicator Information)(*1)は、脅威情報構造化記述形式であるSTIX(*2)などで記述されたサイバー攻撃活動に関連する脅威情報を交換するために開発されました。

サイバー攻撃活動の記述に関する取組みは、2010年、US-CERTとCERT/CCによる脅威情報の交換、脅威情報を構造化したアーキテクチャの検討から始まります。2012年に入り、サイバー攻撃活動に関連する項目を記述するための技術仕様STIXとしてまとめられました。一方、サイバー攻撃活動の情報を交換する手順については、2012年頃から米国国土安全保障省DHS(*3)が主導して、米国政府の支援を受けた非営利団体のMITRE(*4)が中心となり技術仕様の策定が進められました。2012年11月にTAXII V1.0のドラフトができあがり、2013年4月、TAXII V1.0がリリースされました。

TAXIIを用いると、STIXで記述されたサイバー攻撃活動の観測事象、検知指標などの様々な脅威情報の交換をプログラム処理できるようになります。

なお、本資料はMITREから2014年1月13日に公開されたTAXIIバージョン1.1のサービス仕様書を基に作成しました。詳細は、MITREのTAXIIの仕様書を参照して下さい。

1. TAXIIサービスの概要

TAXIIでは、複数の宛先への情報配信、ピアツーピアによるN対Nでの情報交換、ハブとなるホストを介した情報交換など様々な形態に対応できるようにするために、脅威情報提供者(Producer)、脅威情報利用者(Consumer)という抽象的な概念と共に、図 1に示すようなコンポーネント構成を想定した技術仕様になっています。TTA(*5)は、データを送受信するためのコンポーネントで、HTTP、HTTPSを使った転送仕様が規定されています。TMH(*6)は、送受信するデータに格納されたメッセージを処理するためのコンポーネントで、サービス毎に格納するメッセージ仕様が規定されています。すなわち、集積データに格納されているSTIXなどで記述された脅威情報を、TMHがXML形式のメッセージで梱包し、TTAがその梱包したメッセージをHTTP、HTTPSを使って転送するという仕組みになっています。

TAXIIを構成する主な仕様として、サービス仕様、転送仕様、メッセージ仕様、コンテンツ仕様があります。そして、どのバージョンのサービス仕様か、どのような転送仕様か、どのようなメッセージ仕様か、どのコンテンツ仕様かを識別するためのIDが規定されています。表 1にあるTAXII Services Version IDは、TAXIIのサービス仕様を識別するものです。そして、TAXII Protocol Version IDは、TTAが使用する転送仕様を、TAXII Message Binding Version IDは、TMHが処理するメッセージ仕様を、TAXII Content Binding IDは、TMHが処理するメッセージに格納されたXMLコンテンツの仕様を識別するものです。

図 1：TAXIIサービスの概要

表 1：TAXIIサービスで規定されているID
サービス仕様 TAXII Services Version ID 　　Service Specification v1.1	urn:taxii.mitre.org:services:1.1
転送仕様 TAXII Protocol Version ID 　　HTTP Protocol Binding Specification v1.0	urn:taxii.mitre.org:protocol:http:1.0 urn:taxii.mitre.org:protocol:https:1.0
メッセージ仕様 TAXII Message Binding Version ID 　　XML Message Binding Specification v1.1	urn:taxii.mitre.org:message:xml:1.1
コンテンツ仕様 TAXII Content Binding ID 　　STIX XML v1.0 　　STIX XML v1.0.1 　　STIX XML v1.1 　　STIX XML v1.1.1 　　CAP v1.1 　　CAP v1.2	urn:stix.mitre.org:xml:1.0 urn:stix.mitre.org:xml:1.0.1 urn:stix.mitre.org:xml:1.1 urn:stix.mitre.org:xml:1.1.1 urn:oasis:names:tc:emergency:cap:1.1 urn:oasis:names:tc:emergency:cap:1.2

2. TAXIIが提供するサービス仕様

TAXIIが提供するサービス仕様については、仕様書「TAXII Service Specification v1.1」に記述されています。バージョン1.1では、脅威情報の交換を実現するために、表 2に示すサービスを規定しています。

脅威情報提供者(Producer)の保有するSTIXなどで記述された脅威情報を取得するときの流れは、Discoveryサービスを使って、Collection Managementサービスへのアクセス方法を取得します。次に、Collection Managementサービスを使って参照できる脅威情報のグループ一覧を取得した後、Pollサービスを使って、STIXなどで記述された脅威情報そのものを取得します。

表 2：TAXIIサービス仕様
Discovery	TAXIIサービスに関する情報を提供する。
Collection Management	TAXIIサービスが提供可能な集積データ(TAXII Data Collection)の参照と設定を管理する。
Inbox	TAXIIサービスに脅威情報を投稿する。
Poll	TAXIIサービスが提供可能な集積データを参照する。

3. TAXIIで使用する転送仕様

TAXIIで使用する転送仕様については、仕様書「TAXII HTTP Protocol Binding Specification v1.0」に記述されています。バージョン1.0では、HTTP、HTTPSを使った転送仕様をサポートしており、HTTPとHTTPS用のTAXII Protocol Version IDと、TAXIIで使用するHTTPヘッダが規定されています(表 3)。

表 3：TAXIIで使用するHTTPヘッダ
Accept	受信可能なデータ形式 [例]　Accept: application/xml
Content-Type	格納するコンテンツのデータ形式 [例]　Content-Type: application/xml
Content-Type	格納するコンテンツのデータ形式 [例]　Content-Type: application/xml
X-TAXII-Accept	TMHで受信可能なメッセージ仕様 TAXII Message Binding Version IDを設定 [例]　X-TAXII-Accept: urn:taxii.mitre.org:message:xml:1.1
X-TAXII-Content-Type	TMHで使用するメッセージ仕様 TAXII Message Binding Version IDを設定 [例]　X-TAXII-Content-Type: urn:taxii.mitre.org:message:xml:1.1
X-TAXII-Protocol	TTAで使用する転送仕様 TAXII Protocol Version IDを設定 [例]　X-TAXII-Protocol: urn:taxii.mitre.org:protocol:http:1.0
X-TAXII-Services	使用するサービス仕様 TAXII Services Version IDを設定 [例]　X-TAXII-Services: urn:taxii.mitre.org:services:1.1

4. TAXIIで使用するメッセージ仕様

TAXIIで使用するメッセージ仕様については、仕様書「TAXII XML Message Binding Specification v1.1」に記述されています。バージョン1.1では、サービス毎に送受信する手順と共に、送受信データに格納するメッセージ仕様を規定しています。

4.1 Discovery

Discoveryは、TAXIIサービスに関する情報を提供します。このサービスでは、Discovery Request/Discovery Responseメッセージを利用し、応答メッセージであるDiscovery Responseには、TAXIIサービスに関する情報として、サービスのタイプ、サービス仕様、転送仕様、URL、メッセージ仕様、コンテンツ仕様を格納します(表 4)。

表 4：Discovery Responseに格納する情報
<Discovery_Response>	Discovery Responseメッセージ
<Service_Instance>	－
@service_type	TAXIIサービスのタイプ DISCOVERY、COLLECTION_MANAGEMENT、INBOX、POLLのいずれかを格納します。
@service_version	TAXIIサービス仕様のバージョン(表 1)
<Protocol_Binding>	サービスで使用する転送仕様(表 1)
<Address>	サービスの提供URL
<Message_Binding>	サービスで使用するメッセージ仕様(表 1)
<Content_Binding>	－
@binding_id	サービスで使用するコンテンツ仕様(表 1)

図 2は、Discoveryサービスの例です。このTAXIIサービスでは、Inbox、Poll、Discovery、Collection Managementの4種類を提供し、このうちInboxサービスは、http://taxiitest.example.com/services/inbox/defaultから、転送仕様としてHTTPを、メッセージ仕様としてXML Message Binding Specification v1.1を、コンテンツ仕様としてSTIX XML v1.0を用いたサービスであることを示しています。

URL: Discoveryサービス提供URLの例
http://taxiitest.example.com/services/discovery

要求: ＜TAXIIで使用する転送仕様http要求ヘッダ＞

応答: ＜TAXIIで使用する転送仕様http応答ヘッダ＞

画像のクリックでXMLファイル(taxii_Discovery_Response.xml)表示
図 2：Discoveryで使用するメッセージ仕様の例

4.2 Collection Management

Collection Managementは、TAXIIサービスが提供可能な集積データの参照と設定を管理します。集積データの一覧を提供するサービスCollection Information Exchangeと、集積データの設定を管理するサービスSubscription Management Exchangeがあります。

Collection Information Exchangeでは、Collection Information Request/Collection Information Responseメッセージを利用します。応答メッセージであるCollection Information Responseには、TAXIIサービスが提供可能な集積データの一覧に関する情報として、集積データの名称、タイプ、説明、コンテンツ仕様、転送仕様、URL、メッセージ仕様を格納します(表 5)。

表 5：Collection Information Responseに格納する情報
<Collection_Information_Response>	Collection Information Responseメッセージ
<Collection>	－
@collection_name	集積データの名称
@collection_type	集積データのタイプ DATA_FEED、DATA_SETのいずれかを格納します。DATA_FEEDはタイムスタンプ順に並べられた順序性のあるデータ群で、DATA_SETは順序性のないデータ群です。
<Description>	集積データの説明
<Content_Binding>	－
@binding_id	サービスで使用するコンテンツ仕様(表 1)
<Polling_Service>	－
<Protocol_Binding>	サービスで使用する転送仕様(表 1)
<Address>	サービスの提供URL
<Message_Binding>	サービスで使用するメッセージ仕様(表 1)

図 3は、Collection Information Exchangeサービスの例です。このTAXIIサービスが提供する集積データの名称はdefaultで、タイムスタンプ順に並べられた順序性のあるデータです。また、サービス提供URLはhttp://taxiitest.example.com/services/pollで、転送仕様としてHTTPを、メッセージ仕様としてXML Message Binding Specification v1.1を、コンテンツ仕様としてSTIX XML v1.0を用いたサービスであることを示しています

URL: Collection Information Exchangeサービス提供URLの例
http://taxiitest.example.com/services/collection_management

要求: ＜TAXIIで使用する転送仕様http要求ヘッダ＞

応答: ＜TAXIIで使用する転送仕様http応答ヘッダ＞

画像のクリックでXMLファイル(taxii_Collection_Information_Response.xml)表示
図 3：Collection Information Exchangeで使用するメッセージ仕様

4.3 Inbox

Inboxでは、TAXIIサービスを利用して脅威情報を投稿します。このサービスでは、Inbox Message/Status Messageメッセージを利用し、要求メッセージであるInbox Messageには、投稿するデータとして、コンテンツ仕様、脅威情報を格納します(表 6)。なお、投稿する脅威情報の形式は、コンテンツ仕様に記述します。

表 6：Inbox Messageに格納する情報
<Inbox_Message>	Inbox Messageメッセージ
<Content_Block>	－
<Content_Binding>	－
@binding_id	サービスで使用するコンテンツ仕様(表 1)
<Content>	STIXなどで記述した脅威情報

図 4は、http://taxiitest.example.com/services/inbox/defaultが提供するInboxサービスの例です。このTAXIIサービスを利用した脅威情報の投稿には、コンテンツ仕様としてSTIXバージョン1.1.1を用いていることを示しています。

URL: Inboxサービス提供URLの例
http://taxiitest.example.com/services/inbox/default

要求: ＜TAXIIで使用する転送仕様http要求ヘッダ＞

画像のクリックでXMLファイル(taxii_Inbox_Message.xml)表示

応答: ＜TAXIIで使用する転送仕様http応答ヘッダ＞

4.4 Poll

Pollは、TAXIIサービスが提供可能な集積データを参照するためのサービスです。このサービスでは、Poll Request/Poll Responseメッセージを利用して指定した集積データに格納されている脅威情報を取得します。要求メッセージであるPoll Requestには、集積データの名称、取得データのタイプ、コンテンツ仕様を格納し(表 7)、応答メッセージであるDiscovery Responseには、集積データの名称、脅威情報を格納します(表 8)。

表 7：Poll Requestに格納する情報
<Poll_Request>	Poll Requestメッセージ
@collection_name	集積データの名称
<Poll_Parameters>	－
<Response_Type>	取得データのタイプ FULL、COUNT_ONLYのいずれかを格納します。FULLはデータ件数とデータを、COUNT_ONLYはデータ件数のみを取得することになります。
<Content_Binding>	－
@binding_id	サービスで使用するコンテンツ仕様(表 1)

表 8：Poll Responseに格納する情報
<Poll_Response>	Poll Responseメッセージ
@collection_name	集積データの名称
<Record_Count>	データ件数
<Content_Block>	－
<Content_Binding>	－
@binding_id	サービスで使用するコンテンツ仕様(表 1)
<Content>	STIXなどで記述した脅威情報

図 5は、Pollサービスの例です。このPollサービスが提供する集積データの名称はdefaultで、脅威情報の件数は2件で、STIXバージョン1.1.1で記述されたXMLファイルであることを示しています。

URL: Pollサービス提供URLの例
http://taxiitest.example.com/services/poll

要求: ＜TAXIIで使用する転送仕様http要求ヘッダ

画像のクリックでXMLファイル(taxii_Poll_Request.xml)表示

応答: ＜TAXIIで使用する転送仕様http応答ヘッダ＞

画像のクリックでXMLファイル(taxii_Poll_Response.xml)表示
図 5：Pollで使用するメッセージ仕様

5. TAXIIで使用するコンテンツ仕様

TAXIIで使用するコンテンツ仕様については、仕様書「TAXII Content Binding Reference v3」に記述されています。バージョン3では、コンテンツの形式として、STIX、CAP、XML暗号、S/MIMEの4種類が規定されています。

5.1 STIX(Structured Threat Information eXpression)

STIXは、米国政府が推進しているサイバー攻撃対策において、検知に有効なサイバー攻撃を特徴付ける指標(indicator)などを取り込んだサイバー攻撃活動に関連する項目を記述するための技術仕様です。
詳細については、「脅威情報構造化記述形式STIX概説」を参照してください。

5.2 CAP(Common Alerting Protocol)

CAP(*7)は、構造化情報標準促進協会OASIS(*8)において標準化された緊急時の警報情報を交換するための汎用的な形式で、2005年にバージョン1.1、2010年にバージョン1.2がリリースされました。
CAPは、alert、info、resource、areaの4つの情報群から構成されています。alertには、識別子、メッセージタイプのような基本情報を、infoには、イベントタイプ、緊急度、深刻度などの警報そのものに関する情報を、resourceには参考情報、areaには、緯度、経度、高度などの地理空間基準を記載します。図 6は、IPAが2014年9月に発行したセキュリティ情報「bashの脆弱性対策について(CVE-2014-6271 等)」をCAP v1.2で記述した例です。

画像のクリックでXMLファイル（stix_package_ipa_example.xml）表示
図 6：CAPを用いたセキュリティ情報の記載の例

脚注

(*1)
TAXII：Trusted Automated eXchange of Indicator Information。サイバー攻撃活動に関連する脅威情報を交換するための技術仕様。
- http://taxii.mitre.org/
(*2)
STIX：Structured Threat Information eXpression。サイバー攻撃を特徴付ける事象などを取り込んだサイバー攻撃活動に関連する項目を記述するための技術仕様。
- http://stix.mitre.org/
(*3)
DHS：Department of Homeland Security。米国土安全保障省。
- http://www.dhs.gov/
(*4)
MITRE Corporation。米国政府向けの技術支援や研究開発を行う非営利組織。
- http://www.mitre.org/
(*5)

TTA：TAXII Transfer Agent。データを送受信するためのコンポーネント。
(*6)

TMH：TAXII Message Handler。送受信するデータに格納されたメッセージを処理するためのコンポーネント。
(*7)

CAP：Common Alerting Protocol。緊急時の警報情報を交換するための汎用的な形式。
(*8)
OASIS；Organization for the Advancement of Structured Information Standards。構造化情報標準促進協会。
- http://www.oasis-open.org/

お問い合わせ先

IPA セキュリティセンター（IPA/ISEC）

E-mail

更新履歴

2018年5月31日

お問合せ先を更新
2015年7月22日

参考情報を追加
2015年5月20日

掲載