検知指標情報自動交換手順TAXII概説

TAXII(Trusted Automated eXchange of Indicator Information)
～サイバー攻撃活動の情報を交換するための仕様～

サイバー攻撃活動の情報を交換するためには、情報交換の手順として、サービスを定義し、サービスで使用する転送手順やメッセージ仕様などを決める必要があります。検知指標情報自動交換手順TAXII(Trusted Automated eXchange of Indicator Information)(*1)は、脅威情報構造化記述形式であるSTIX(*2)などで記述されたサイバー攻撃活動に関連する脅威情報を交換するために開発されました。

サイバー攻撃活動の記述に関する取組みは、2010年、US-CERTとCERT/CCによる脅威情報の交換、脅威情報を構造化したアーキテクチャの検討から始まります。2012年に入り、サイバー攻撃活動に関連する項目を記述するための技術仕様STIXとしてまとめられました。一方、サイバー攻撃活動の情報を交換する手順については、2012年頃から米国国土安全保障省DHS(*3)が主導して、米国政府の支援を受けた非営利団体のMITRE(*4)が中心となり技術仕様の策定が進められました。2012年11月にTAXII V1.0のドラフトができあがり、2013年4月、TAXII V1.0がリリースされました。

TAXIIを用いると、STIXで記述されたサイバー攻撃活動の観測事象、検知指標などの様々な脅威情報の交換をプログラム処理できるようになります。

なお、本資料はMITREから2014年1月13日に公開されたTAXIIバージョン1.1のサービス仕様書を基に作成しました。詳細は、MITREのTAXIIの仕様書を参照して下さい。

1. TAXIIサービスの概要

TAXIIでは、複数の宛先への情報配信、ピアツーピアによるN対Nでの情報交換、ハブとなるホストを介した情報交換など様々な形態に対応できるようにするために、脅威情報提供者(Producer)、脅威情報利用者(Consumer)という抽象的な概念と共に、図 1に示すようなコンポーネント構成を想定した技術仕様になっています。TTA(*5)は、データを送受信するためのコンポーネントで、HTTP、HTTPSを使った転送仕様が規定されています。TMH(*6)は、送受信するデータに格納されたメッセージを処理するためのコンポーネントで、サービス毎に格納するメッセージ仕様が規定されています。すなわち、集積データに格納されているSTIXなどで記述された脅威情報を、TMHがXML形式のメッセージで梱包し、TTAがその梱包したメッセージをHTTP、HTTPSを使って転送するという仕組みになっています。

TAXIIを構成する主な仕様として、サービス仕様、転送仕様、メッセージ仕様、コンテンツ仕様があります。そして、どのバージョンのサービス仕様か、どのような転送仕様か、どのようなメッセージ仕様か、どのコンテンツ仕様かを識別するためのIDが規定されています。表 1にあるTAXII Services Version IDは、TAXIIのサービス仕様を識別するものです。そして、TAXII Protocol Version IDは、TTAが使用する転送仕様を、TAXII Message Binding Version IDは、TMHが処理するメッセージ仕様を、TAXII Content Binding IDは、TMHが処理するメッセージに格納されたXMLコンテンツの仕様を識別するものです。

2. TAXIIが提供するサービス仕様

TAXIIが提供するサービス仕様については、仕様書「TAXII Service Specification v1.1」に記述されています。バージョン1.1では、脅威情報の交換を実現するために、表 2に示すサービスを規定しています。

脅威情報提供者(Producer)の保有するSTIXなどで記述された脅威情報を取得するときの流れは、Discoveryサービスを使って、Collection Managementサービスへのアクセス方法を取得します。次に、Collection Managementサービスを使って参照できる脅威情報のグループ一覧を取得した後、Pollサービスを使って、STIXなどで記述された脅威情報そのものを取得します。

3. TAXIIで使用する転送仕様

TAXIIで使用する転送仕様については、仕様書「TAXII HTTP Protocol Binding Specification v1.0」に記述されています。バージョン1.0では、HTTP、HTTPSを使った転送仕様をサポートしており、HTTPとHTTPS用のTAXII Protocol Version IDと、TAXIIで使用するHTTPヘッダが規定されています(表 3)。

4. TAXIIで使用するメッセージ仕様

TAXIIで使用するメッセージ仕様については、仕様書「TAXII XML Message Binding Specification v1.1」に記述されています。バージョン1.1では、サービス毎に送受信する手順と共に、送受信データに格納するメッセージ仕様を規定しています。

4.1 Discovery

Discoveryは、TAXIIサービスに関する情報を提供します。このサービスでは、Discovery Request/Discovery Responseメッセージを利用し、応答メッセージであるDiscovery Responseには、TAXIIサービスに関する情報として、サービスのタイプ、サービス仕様、転送仕様、URL、メッセージ仕様、コンテンツ仕様を格納します(表 4)。

図 2は、Discoveryサービスの例です。このTAXIIサービスでは、Inbox、Poll、Discovery、Collection Managementの4種類を提供し、このうちInboxサービスは、http://taxiitest.example.com/services/inbox/defaultから、転送仕様としてHTTPを、メッセージ仕様としてXML Message Binding Specification v1.1を、コンテンツ仕様としてSTIX XML v1.0を用いたサービスであることを示しています。

4.2 Collection Management

Collection Managementは、TAXIIサービスが提供可能な集積データの参照と設定を管理します。集積データの一覧を提供するサービスCollection Information Exchangeと、集積データの設定を管理するサービスSubscription Management Exchangeがあります。

Collection Information Exchangeでは、Collection Information Request/Collection Information Responseメッセージを利用します。応答メッセージであるCollection Information Responseには、TAXIIサービスが提供可能な集積データの一覧に関する情報として、集積データの名称、タイプ、説明、コンテンツ仕様、転送仕様、URL、メッセージ仕様を格納します(表 5)。

図 3は、Collection Information Exchangeサービスの例です。このTAXIIサービスが提供する集積データの名称はdefaultで、タイムスタンプ順に並べられた順序性のあるデータです。また、サービス提供URLはhttp://taxiitest.example.com/services/pollで、転送仕様としてHTTPを、メッセージ仕様としてXML Message Binding Specification v1.1を、コンテンツ仕様としてSTIX XML v1.0を用いたサービスであることを示しています

4.3 Inbox

Inboxでは、TAXIIサービスを利用して脅威情報を投稿します。このサービスでは、Inbox Message/Status Messageメッセージを利用し、要求メッセージであるInbox Messageには、投稿するデータとして、コンテンツ仕様、脅威情報を格納します(表 6)。なお、投稿する脅威情報の形式は、コンテンツ仕様に記述します。

図 4は、http://taxiitest.example.com/services/inbox/defaultが提供するInboxサービスの例です。このTAXIIサービスを利用した脅威情報の投稿には、コンテンツ仕様としてSTIXバージョン1.1.1を用いていることを示しています。

画像のクリックでXMLファイル(taxii_Inbox_Message.xml)表示

4.4 Poll

Pollは、TAXIIサービスが提供可能な集積データを参照するためのサービスです。このサービスでは、Poll Request/Poll Responseメッセージを利用して指定した集積データに格納されている脅威情報を取得します。要求メッセージであるPoll Requestには、集積データの名称、取得データのタイプ、コンテンツ仕様を格納し(表 7)、応答メッセージであるDiscovery Responseには、集積データの名称、脅威情報を格納します(表 8)。

図 5は、Pollサービスの例です。このPollサービスが提供する集積データの名称はdefaultで、脅威情報の件数は2件で、STIXバージョン1.1.1で記述されたXMLファイルであることを示しています。

画像のクリックでXMLファイル(taxii_Poll_Request.xml)表示

5. TAXIIで使用するコンテンツ仕様

TAXIIで使用するコンテンツ仕様については、仕様書「TAXII Content Binding Reference v3」に記述されています。バージョン3では、コンテンツの形式として、STIX、CAP、XML暗号、S/MIMEの4種類が規定されています。

5.1 STIX(Structured Threat Information eXpression)

STIXは、米国政府が推進しているサイバー攻撃対策において、検知に有効なサイバー攻撃を特徴付ける指標(indicator)などを取り込んだサイバー攻撃活動に関連する項目を記述するための技術仕様です。
詳細については、「脅威情報構造化記述形式STIX概説」を参照してください。 

5.2 CAP(Common Alerting Protocol)

CAP(*7)は、構造化情報標準促進協会OASIS(*8)において標準化された緊急時の警報情報を交換するための汎用的な形式で、2005年にバージョン1.1、2010年にバージョン1.2がリリースされました。
CAPは、alert、info、resource、areaの4つの情報群から構成されています。alertには、識別子、メッセージタイプのような基本情報を、infoには、イベントタイプ、緊急度、深刻度などの警報そのものに関する情報を、resourceには参考情報、areaには、緯度、経度、高度などの地理空間基準を記載します。図 6は、IPAが2014年9月に発行したセキュリティ情報「bashの脆弱性対策について(CVE-2014-6271 等)」をCAP v1.2で記述した例です。

脚注

1. (*1)
   TAXII：Trusted Automated eXchange of Indicator Information。サイバー攻撃活動に関連する脅威情報を交換するための技術仕様。

   • http://taxii.mitre.org/
2. (*2)
   STIX：Structured Threat Information eXpression。サイバー攻撃を特徴付ける事象などを取り込んだサイバー攻撃活動に関連する項目を記述するための技術仕様。

   • http://stix.mitre.org/
3. (*3)
   DHS：Department of Homeland Security。米国土安全保障省。

   • http://www.dhs.gov/
4. (*4)
   MITRE Corporation。米国政府向けの技術支援や研究開発を行う非営利組織。

   • http://www.mitre.org/
5. (*5)
   TTA：TAXII Transfer Agent。データを送受信するためのコンポーネント。
6. (*6)
   TMH：TAXII Message Handler。送受信するデータに格納されたメッセージを処理するためのコンポーネント。
7. (*7)
   CAP：Common Alerting Protocol。緊急時の警報情報を交換するための汎用的な形式。
8. (*8)
   OASIS；Organization for the Advancement of Structured Information Standards。構造化情報標準促進協会。

   • http://www.oasis-open.org/