TAXII（脅威情報共有プロトコル）とは何ですか？

STIXで記述されたサイバー脅威情報を組織間で自動共有するためのREST APIベースのプロトコル。コレクション（蓄積）とチャンネル（配信）の2つのモデルで情報交換する。

TAXII（脅威情報共有プロトコル）のポイントは？

STIXデータを組織間で自動送受信するためのREST APIプロトコル。Collectionモデル（問い合わせ型）とChannelモデル（購読型）の2つの配信方式がある。HTTPS上で動作し、認証・暗号化による安全な共有が可能。ISACなどの業界サイバーセキュリティ情報共有組織でも活用されている

【タクシー】

💡 脅威情報を自動で届ける「セキュリティ専用宅配便」

📌 このページのポイント

TAXIIによる脅威情報の自動共有フロー

ひよこ

TAXIIって「タクシー」って読むの？セキュリティ用語なの？

ペンギン先生

そうだよ。Trusted Automated eXchange of Intelligence Informationの略で「タクシー」と読むんだ。サイバー脅威情報を組織間で自動やり取りするためのプロトコルだよ。

ひよこ

STIXと何が違うの？

ペンギン先生

STIXは「どんな形式で脅威情報を書くか」というフォーマット仕様で、TAXIIは「その情報をどうやって送り合うか」という通信手順だよ。セットで使うことがほとんどで、STIXで書いた情報をTAXIIで届けるんだ。

ひよこ

CollectionとChannelって2つのモデルがあるって聞いたけど、どう違うの？

ペンギン先生

CollectionはAPIを呼び出して「最新の脅威情報をくれ」と問い合わせる型で、ChannelはRSSのように購読しておくと新情報が流れてくる配信型だよ。用途によって使い分けるんだ。

ひよこ

実際にどんな組織が使っているの？

ペンギン先生

金融・エネルギー・医療などの業界ごとに設立されているISAC（情報共有分析センター）が代表例だよ。同業他社が攻撃情報を匿名で共有し合うことで業界全体のセキュリティレベルを上げるために使われているんだ。

ひよこ

普通のAPIと違いはあるの？

ペンギン先生

仕様が標準化されているから、異なるベンダーのSIEMやソープサービスでも「TAXIIに対応」とあれば自動連携できる点が大きな違いだよ。独自APIだとつなぐたびに実装が必要だけど、TAXIIなら共通仕様で済むんだ。

まとめ：ざっくりこれだけ覚えればOK！

「TAXII」って出てきたら「脅威情報を自動共有するプロトコル」と思えればだいたいOK！

📖 おまけ：英語の意味

「TAXII」＝信頼された自動化脅威情報交換

💬 Trusted Automated eXchange of Intelligence Informationの頭文字だよ。「タクシー」と読む。脅威情報を目的地まで確実に運ぶタクシーのようなプロトコルだね。