STIX(Structured Threat Information eXpression) すてぃっくす
簡単に言うとこんな感じ!
STIXは「サイバー攻撃の情報をみんなが読める共通フォーマットで書きましょう」という規格だよ!レシピで言えば「材料・手順・完成品をバラバラに書かず、決まった書式でまとめよう」みたいなものなんだ。攻撃者の手口や使うツール、狙われやすい弱点などをJSON形式で統一的に表現するから、組織間でサイバー脅威の情報をスムーズに共有できるってこと!
STIXとは
STIX(Structured Threat Information eXpression)は、サイバー脅威に関する情報を機械が読めるJSON形式で構造化して表現するための標準フォーマットです。米国の非営利研究機関 MITRE Corporation が開発し、現在は OASIS(Organization for the Advancement of Structured Information Standards)が標準化を管理しています。
セキュリティの現場では「この攻撃グループはこういう手口を使う」「このIPアドレスは怪しい」という情報を組織間で共有することが重要です。しかし、共有フォーマットがバラバラだと、受け取った側がデータを読み解くだけで膨大な手間がかかります。STIXはこの問題を解決するために生まれた「脅威情報の共通言語」です。
現在主流の STIX 2.1(2021年策定)では、攻撃者・攻撃手法・マルウェア・被害資産などをオブジェクト単位で表現し、それらの関係性をグラフ構造で記述できます。SIEMやSOARなどのセキュリティ製品との連携が容易で、脅威インテリジェンスの自動化基盤として広く普及しています。
STIXの構造と主要オブジェクト
STIXでは情報を SDO(STIX Domain Objects) と SRO(STIX Relationship Objects) に分けて表現します。
主要なSDO(ドメインオブジェクト)
| オブジェクト名 | 英語 | 表すもの | 具体例 |
|---|---|---|---|
threat-actor | 脅威アクター | 攻撃者・攻撃グループ | APT28、Lazarus Group |
malware | マルウェア | 悪意あるソフトウェア | Emotet、WannaCry |
attack-pattern | 攻撃パターン | 攻撃の手口・技法 | フィッシング、権限昇格 |
indicator | インジケーター | 攻撃を示す痕跡(IoC) | 不審なIPアドレス・ハッシュ値 |
vulnerability | 脆弱性 | 攻撃に使われた欠陥 | CVE-2024-XXXX |
campaign | キャンペーン | 特定の攻撃作戦 | Operation Bluewater |
course-of-action | 対策 | 推奨される防御手段 | パッチ適用・通信ブロック |
tool | ツール | 攻撃に使われた正規ツール | Mimikatz、Cobalt Strike |
SRO(関係オブジェクト)の例
threat-actor ──[uses]──▶ malware
malware ──[uses]──▶ attack-pattern
indicator ──[indicates]──▶ campaignSTIXオブジェクトのJSON例
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-abcd-efgh-ijkl-000000000001",
"name": "不審なIPアドレス検出",
"pattern": "[ipv4-addr:value = '198.51.100.0']",
"pattern_type": "stix",
"valid_from": "2026-04-09T00:00:00Z",
"labels": ["malicious-activity"]
}STIXを覚えるコツ
「S:情報を Structured(構造化)、T:Threat(脅威)、I:Information(情報)、X:eXpress(表現)」
「脅威を構造化表現するための規格」そのまま頭文字になっているから、意味から逆引きして覚えよう!
歴史と背景
- 2012年 — MITREがSTIX 1.0を公開。XMLベースで米国政府機関・セキュリティ企業向けに脅威情報共有の標準化を推進
- 2014年 — STIX 1.1にアップデート。同年、情報配信プロトコル TAXII も整備され、STIXとのセットで普及が加速
- 2016年 — OASISがSTIXとTAXIIの標準化を引き継ぐ。STIX 2.0 でXMLからJSON形式に刷新。扱いやすさが大幅向上
- 2017年 — MITREが ATT&CK フレームワーク を公開。STIXのattack-patternオブジェクトとATT&CKの手法が対応付けられるようになる
- 2021年 — STIX 2.1 がOASIS標準として正式策定。新オブジェクトの追加・拡張プロパティのサポートで表現力が向上
- 現在 — ISACやCERT、政府機関(米CISA・日本のNISCなど)がSTIX 2.1 + TAXIIを使った脅威情報共有基盤を整備。主要SIEMやTIPが標準サポート
STIXと関連技術の全体像
STIXは単独では完結せず、配信プロトコルのTAXII・脅威フレームワークのMITRE ATT&CK・セキュリティ製品のTIP/SIEM と組み合わせて機能します。
STIX vs 他の脅威情報フォーマット比較
| 項目 | STIX 2.1 | OpenIOC | MISP形式 |
|---|---|---|---|
| 開発元 | OASIS | Mandiant | CIRCL(ルクセンブルク) |
| フォーマット | JSON | XML | JSON/XML |
| 表現の粒度 | 非常に高い(関係性も表現) | 中程度(IoC中心) | 高い |
| 標準化状況 | 国際標準(OASIS) | 事実上の標準 | コミュニティ標準 |
| 主な用途 | TIP・SIEM連携・政府間共有 | マルウェア解析レポート | コミュニティ間の情報共有 |
| ATT&CK連携 | ネイティブ対応 | 限定的 | プラグイン経由 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| OASIS STIX 2.1 | STIXの最新標準仕様(OASIS標準) |
| OASIS TAXII 2.1 | STIX情報を配信するHTTPベースのプロトコル |
| RFC 8322 | ROLIE(Resource-Oriented Lightweight Information Exchange)— セキュリティ情報フィードのAtomベース配信仕様 |
関連用語
- TAXII — STIXフォーマットのデータをHTTP/REST APIで配信するための通信プロトコル
- SIEM — ログを収集・分析するセキュリティ監視基盤。STIXの脅威情報を取り込んで検知精度を向上させる
- SOAR — セキュリティインシデントへの対応を自動化するプラットフォーム。STIXをトリガーに対処アクションを実行
- 脅威インテリジェンス(Threat Intelligence) — サイバー攻撃者の手口・目的・能力に関する知識。STIXはその共有手段
- IoC(Indicator of Compromise) — 侵害の痕跡。不審なIPやハッシュ値などSTIXのindicatorオブジェクトで表現される
- MITRE ATT&CK — 攻撃者の戦術・技法を体系化したフレームワーク。STIXのattack-patternと対応付けて使われる
- TIP(Threat Intelligence Platform) — 脅威インテリジェンスを収集・管理・共有するプラットフォーム。STIXの主要な消費者
- ISAC — 業界横断でサイバー脅威情報を共有する組織。STIXフォーマットでの情報提供が標準化されつつある