STIX|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. STIX
             

STIX

STIX(Structured Threat Information eXpression)は、サイバー脅威インテリジェンス(CTI)情報の共有・交換を標準化するためのデータモデルで、米国国土安全保障省(DHS)の支援を受けて開発された仕様です。サイバーセキュリティの脅威情報を共有する際に、STIXを用いると、脅威インジケーター、攻撃手法、攻撃者の行動パターン、被害の概要などが体系的に表現され、他の組織やセキュリティツールとの相互運用性が向上します。

STIXは、脅威情報を構造化データとして表現することで、組織間でのセキュリティ対策の迅速な共有や、インシデント対応の効率化を支援します。現在はOASIS(Organization for the Advancement of Structured Information Standards)によって管理され、国際的な標準規格として広く採用されています。

STIXの主な要素(オブジェクト)

STIXは、脅威情報を体系化するために、以下のオブジェクト(データ要素)で構成されています。これらを用いて脅威の内容や特徴を具体的に記述します。

  1. Indicator(インジケーター)
    サイバー攻撃の兆候や痕跡(例えば、IPアドレス、URL、ファイルハッシュなど)を表します。Indicatorオブジェクトを利用することで、脅威の早期検知や警戒が可能になります。
  2. Threat Actor(脅威アクター)
    攻撃を仕掛ける個人や組織を指し、攻撃者の行動や動機、攻撃手法に関する情報を示します。攻撃者の特定やその背景を分析する上で有効です。
  3. Campaign(キャンペーン)
    脅威アクターが特定の目標を達成するために行う一連の攻撃活動です。キャンペーンの期間や目標、使用された手法を記録します。
  4. Attack Pattern(攻撃パターン)
    サイバー攻撃で一般的に使用される戦術やテクニック(例えば、フィッシング、マルウェアの展開など)を示します。攻撃方法を体系化することで、類似攻撃の防御策が容易になります。
  5. Malware(マルウェア)
    攻撃に用いられるマルウェアやその機能、目的に関する情報を記録します。これにより、特定のマルウェアを使用する攻撃者の傾向やパターンを把握できます。
  6. Tool(ツール)
    攻撃者が用いるツール(リモートアクセスツールやエクスプロイトキットなど)についての情報です。これにより、攻撃者が利用する技術的手段が明確になります。
  7. Observed Data(観測データ)
    実際に観測されたデータ(IPアドレス、ドメイン、ファイルなど)を記録します。インシデントの発生時に実際に確認された脅威情報を記述するために用います。
  8. Course of Action(対応策)
    脅威を軽減または封じ込めるために推奨される行動やセキュリティ対策です。対応策の記述により、他の組織が同様の脅威に対処する際の参考になります。
  9. Infrastructure(インフラストラクチャ)
    攻撃者が利用するサーバーやネットワーク、フィッシングサイトのドメインなど、攻撃を支えるインフラの情報です。これにより、攻撃経路やC2(コマンド&コントロール)サーバーなどの活動を追跡できます。
  10. Vulnerability(脆弱性)
    攻撃者が悪用する特定の脆弱性(例:CVE番号)を指します。これにより、特定の脆弱性に対する対策やパッチ適用の必要性が明確になります。

STIXの仕組みとサイバー脅威インテリジェンスの共有

STIXは、これらのオブジェクト間の関連性を「リレーションシップ(Relationship)」によって定義し、脅威インテリジェンス情報を網羅的に表現します。例えば、「脅威アクター(Threat Actor)」が「キャンペーン(Campaign)」を行い、そのキャンペーンに「攻撃パターン(Attack Pattern)」や「マルウェア(Malware)」が使用される、という形で一連の脅威情報を構造化します。

このように構造化されたデータは、データフォーマットとしてJSON形式で表現され、TAXII(Trusted Automated eXchange of Indicator Information)と呼ばれるプロトコルを使って組織間で共有されます。STIXとTAXIIの組み合わせにより、企業や政府機関がリアルタイムで脅威情報を共有しやすくなり、迅速な対応が可能となります。

STIXの利点

  1. 標準化による統一性
    STIXは、脅威情報を標準的なフォーマットで表現するため、異なるシステムや組織間で脅威情報が統一的に管理・共有できます。
  2. 詳細な脅威情報の表現
    脅威の種類、攻撃手法、対応策などを体系的に記述でき、攻撃の全体像を理解しやすく、インシデント対応がスムーズになります。
  3. 相互運用性
    STIXは、さまざまなサイバーセキュリティツールと連携でき、データの相互運用性が高いため、迅速な脅威情報の処理や共有が可能です。
  4. 脅威インテリジェンスの効率的な共有
    TAXIIと組み合わせることで、リアルタイムの脅威情報共有が可能となり、組織間のコラボレーションが向上します。

STIXの利用シーン

  1. 脅威インテリジェンスの共有
    企業や政府機関がSTIX形式で脅威インテリジェンスを共有し、同様の脅威に対する共同対策を講じる場面で活用されます。
  2. インシデント対応の効率化
    サイバー攻撃が発生した場合に、STIXに基づいた脅威情報があれば、攻撃者の特定や攻撃パターンの解明が迅速に行えます。
  3. セキュリティツールとの連携
    STIXフォーマットの脅威情報をセキュリティ情報およびイベント管理(SIEM)システムに取り込むことで、リアルタイムの脅威検知が可能です。

まとめ

STIX(Structured Threat Information eXpression)は、サイバー脅威情報の共有や分析を効率化するための標準フォーマットであり、サイバー攻撃に対するインシデント対応や情報の共有において欠かせない存在です。標準化された脅威インテリジェンスは、他の組織やセキュリティツールとの相互運用を促進し、組織全体の防御力向上に寄与します。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。