TAXIIの役割|情報処理安全確保支援士試験 令和8年 科目A-2試験予想Ⅰ 問1
出典:2-1:セキュリティ監視並びにログの取得及び分析|脅威インテリジェンスの共有のための標準
分野:セキュリティ / 情報セキュリティ
サイバー脅威インテリジェンスの共有に用いられるTAXIIの説明として,最も適切なものはどれか。
- ア:脅威情報の内容や関係性を,攻撃者,攻撃手法,IoCなどのオブジェクトとして構造化して記述するための仕様である。
- イ:構造化された脅威情報を,組織間又はシステム間で自動的に交換するための通信仕様である。
- ウ:脅威情報の取扱い範囲を,色の区分によって受領者に示し,共有可否を判断しやすくするための分類方式である。
- エ:マルウェアに感染した端末から証拠情報を収集し,解析環境で挙動を観察するための手順を定めた仕様である。
TSUNAGARU-ADVICE
まず押さえたいこと
TAXIIは、サイバー脅威インテリジェンスを組織間又はシステム間で自動的に交換するための通信仕様です。ポイントは、構造化された脅威情報をやり取りするための仕組みである点です。
迷ったときの判断軸
脅威情報の内容や関係性を構造化して記述する仕様はSTIXです。共有範囲を色で示す分類方式はTLPです。マルウェア解析の手順を定めたものでもありません。TAXIIは、STIXなどで表現された脅威情報を交換するための通信仕様と判断しましょう。
科目Bにつなげるために
科目Bでは、IoC・攻撃手法・脅威アクターなどの情報をどのように収集・共有し、監視や検知に活用するかが問われることがあります。STIXは情報の表現形式、TAXIIは情報交換の仕組みとして、役割の違いを整理しておきましょう。
TAXIIは、Trusted Automated eXchange of Intelligence Informationの略で、サイバー脅威インテリジェンスを組織間又はシステム間で自動的に交換するための通信仕様です。
脅威情報の内容や関係性を構造化して記述する仕様はSTIXです。一方、TAXIIは、そのSTIXなどで表現された脅威情報を、どのようにやり取りするかを定める役割をもちます。
したがって、イが適切です。
❌他選択肢が誤りの理由ア:脅威情報の内容や関係性を,攻撃者,攻撃手法,IoCなどのオブジェクトとして構造化して記述するための仕様である。
⇒STIXの説明です。STIXは、攻撃者・攻撃手法・IoCなどの脅威情報を構造化して記述するための仕様です。TAXIIは、構造化された脅威情報を交換するための通信仕様です。
ウ:脅威情報の取扱い範囲を,色の区分によって受領者に示し,共有可否を判断しやすくするための分類方式である。
⇒TLPの説明です。TLPは、脅威情報の共有範囲を色で示すための分類方式であり、情報をシステム間で自動交換するTAXIIとは異なります。
エ:マルウェアに感染した端末から証拠情報を収集し,解析環境で挙動を観察するための手順を定めた仕様である。
⇒マルウェア解析やデジタルフォレンジックスに近い説明です。TAXIIは、感染端末から証拠を収集したり、マルウェアの挙動を観察したりするための手順ではなく、脅威インテリジェンスを交換するための仕様です。