事務局ブログ：SSF/CAEPとSTIX/TAXIIのセキュリティ領域における働きの違い

SSF/CAEPとSTIX/TAXIIのセキュリティ領域における働きの違い

By tshibata | 2025年09月16日

Shared Signals Framework WG Contributor, Apoorva Deshpande, Okta

サイバーセキュリティの領域には、組織がセキュリティ情報を共有して活用する方法に、役割は異なる極めて重要な二つのフレームワークがあります。それは、Continuous Access Evaluation Protocol（CAEP）を含むShared Signals Framework（SSF）と、Structured Threat Information eXpression（STIX）を伝送するために構築されたTrusted Automated eXchange of Indicator Information（TAXII）プロトコルです。

どちらもセキュリティ体制の強化を目的としていますが、基本的な設計思想の違いにより適した利用シーンが分かれます。SSF/CAEPは継続的認証とリアルタイム応答が求められる高速な領域で優れている一方、STIX/TAXIIは包括的な脅威インテリジェンス共有と詳細な調査のための標準です。

根本的な違いは、想定する目的と基盤となるアーキテクチャにあります。CAEPを備えたSSFは、継続的かつ動的なアクセス判断を可能にするために、セキュリティイベントをリアルタイムで通信するよう設計されています。これに対して、TAXIIプロトコル上で伝送されるSTIXは、広範な状況を記述するための豊富で詳細な言語を提供し、綿密な分析や調査を目的としています。

これらの標準を救急外来（ER）に例えて考えてみましょう：

SSF/CAEPは、患者からのリアルタイムの心電図信号のようなものです。「心拍数が低下している」といった即座で具体的な通知を送信し、アラーム音、コードブルー、除細動器の使用といった緊急対応を要求します。
STIX/TAXIIは、患者の詳細なカルテと調査用ライブラリのようなものです。患者が誰であるか、検査結果、遺伝的背景（指標と脆弱性）について、豊富な履歴的・予測的な分析を提供します。資料室にあるキャンペーン（一連の攻撃行動）とTTP（Tactics（戦術）, Techniques（技術）, and Procedures（手順）情報には、疾病と基礎疾患に関する研究データが収蔵されています。医師は、この情報を用いて根本原因を診断し、治療計画を策定します。

SSF/CAEP：アクティブセッションの番人

SSF/CAEPの中核は、標準化されたセキュリティイベントを送信するために汎用的なWebhookを使用したリアルタイム、イベント駆動型、パブリッシュ・サブスクライブモデルで動作します。SSFは、送信者と受信者がCAEPイベントの形でデータを交換する方法を定めています。そして、受信者へのプッシュ機能や、ポーリングメカニズムによるデータ交換を可能にします。つまり、重要なイベントが発生した際、送信者（アイデンティティプロバイダー、モバイルデバイス管理システムなど）は、そうした更新情報の受信をサブスクライブしている受信者（アプリケーション、VPNゲートウェイなど）に対して、即座にシグナルを発行できるということです。これにより、オープンな標準を使用して真の相互運用性を実現し、顧客の環境内の様々なシステム/ベンダー間のセキュリティサイロを橋渡しすることができます。セキュリティイベント共有システムは、いずれかのシステムによって検出されたリスクや脅威から顧客のアイデンティティを保護するのに役立ちます。

SSFとCAEPは、OpenID FoundationのShared Signals Working Groupにて検討が進められている別々の仕様であり、現在積極的に開発が進められています。

継続的認証の判定にどう寄与しているのか：

このイベント駆動型の性質により、SSF/CAEPは継続的認証とアクセス制御において非常に有用なものとなっています。SSF/CAEPはセッション開始時の一回限りの認証チェックではなく、継続的で動的なリスク評価を可能にします。初期認証後もアクセスの継続的な評価を行うことで、「決して信頼せず、常に検証せよ」というゼロトラストの原則を実現します。実際の動作は以下の通りです：

セッション無効化： 例えば、ユーザーの認証情報が漏洩し、脅威インテリジェンスシステムによって検出された場合、そのシステムは直ちにsession-revokedイベントを発行できます。ユーザーがログインしているすべてのアプリケーションがこのシグナルを受信し、ほぼリアルタイムでセッションを終了させ、更なる不正アクセスを防止できます。
認証情報変更： ユーザーがパスワードや多要素認証（MFA）方式を変更した際、credential-changeイベントが送信されます。機密性の高いアプリケーションは、重要な操作を許可する前に、ユーザーに再認証を求めたり、利用可能な機能を制限したりできます。
デバイス準拠性変更： ユーザーのデバイスが突然セキュリティ/コンプライアンスポリシーに非準拠となった場合（例：マルウェアの検出、セキュリティ設定の無効化など）、CAEPイベントがトリガーされ、問題が修復されるまでそのデバイスからのアクセスを制限またはブロックできます。
リスクと保証レベルの変更： 新しい異常な場所からのログインなど、ユーザーのリスクプロファイルに突然の変化があった場合、アクセス権限を動的に調整するイベントがトリガーされます。例えば、より低い信頼レベルに移行され、機密度の高いデータへのアクセスが制限される場合があります。

SSF/CAEPの働き：リアルタイム執行の推進

SSF/CAEPイベントは、ログファイル内でじっくりと分析されることを意図したものではありません。これらは迅速に自動化されたアクションを実行するトリガーとなるよう設計された、優先度が高い一方で揮発性のあるシグナルです。取り込めば、これらのイベントはIAMインフラをリアルタイムに支える原動力となります。

アクセス制御エンジンへの直接投入： CAEPイベントは、アイデンティティプロバイダー（IdP）、ゼロトラストネットワークアクセス（ZTNA）ソリューション、API、ビジネスにクリティカルなアプリケーションなど、アクセスを許可または拒否するシステムに直接ストリーミングできます。これにより、session-revokedイベントがネットワーク全体でユーザーのセッションを即座に終了させることが可能になります。
リスク計算インフラストラクチャへの投入： これらのシグナルは、ユーザーの信頼スコアを動的に調整するためにリスクエンジンに送り込むことができます。例えば、device-compliance-changeイベントは、アイデンティティのリスクプロファイルを即座に上昇させ、問題が解決されるまで機密データへのアクセスを自動的に制限できます。

STIX/TAXII：脅威調査のためのアーキビスト

SSF/CAEPの即時性、セッション重視の性質とは対照的に、STIX/TAXIIは包括的な脅威インテリジェンス共有のための堅牢なフレームワークとして機能し、オブジェクト間の相互関係を作り出すSTIXの「Domain」、「Cyber」、「Relationship」オブジェクトタイプのモデルを持っています。TAXIIは伝送メカニズムであり、脅威データがどのように交換されるかを定義し、STIXはそのデータを構造化するために使用される言語です。

STIXとTAXIIは、OASIS Cyber Threat Intelligence Technical Committee（CTI TC）によって管理される、独立しつつも補完関係にある標準です。この非営利コンソーシアムは、グローバル情報社会のためのオープン標準の開発、収束、採用を推進しています。

どのように調査に寄与しているのか：

STIXは、サイバー攻撃の「誰が、何を、いつ、どこで、どのように」を記述するための豊富で詳細な表現力を持ちます。これには以下が含まれます：

脅威アクター： 敵となるグループの詳細なプロファイル（動機、能力、典型的な標的を含む）
キャンペーン： 時間をかけて組み立てられた悪意のある活動に関する情報
侵害指標（IoCs）： 悪意のあるIPアドレス、ファイルハッシュ、ドメイン名など、侵害を特定できる特定のアーティファクト
戦術、技術、手順（TTPs）： 攻撃者が使う方法に関する記述（しばしばMITRE ATT&CKなどのフレームワークにマッピングされる）
マルウェア： 悪意のあるソフトウェアの詳細な分析
脆弱性： 攻撃者によって悪用されるソフトウェアの弱点に関する情報
関係性： すべてを結び付けるオブジェクト（例：脅威アクターAPT29がSolarWindsキャンペーンでマルウェアSUNBURSTを使用）

STIXには、他の標準やカスタムイベントからの追加情報を収容するための「拡張」という概念もあります。振る舞い指標（Indicators of Behavior：IoB）と協調的且つ自動化された対処行動およびオペレーション（Collaborative Automated Course of Action and Operations：CACAO）は、拡張を使用してSTIXバンドル内に適合し、アクションプレイブック、修復アクションをbase64文字列として埋め込み、関連する侵入やキャンペーンに関するより多くの情報を含めます。

このインテリジェンス中心のモデルにより、STIX/TAXIIはセキュリティオペレーションセンター（SOC）、脅威ハンター、インシデント対応者にとって非常に価値のあるものとなっています。TAXIIは、クライアントとサーバーがSTIXデータを交換するためにどのように通信するかを定義します。ハブアンドスポークモデル（一つの中央リポジトリ）やピアツーピアモデル（複数のグループが相互に共有）など、様々な共有モデルをサポートしています：

侵害後フォレンジクス： セキュリティインシデント後、調査担当者はSTIX形式のインテリジェンスを使用して攻撃の全容を理解し、攻撃者のTTPsを特定し、他のどのシステムがリスクにさらされているかを判断できます
脅威ハンティング： セキュリティアナリストは、STIXレポートに記述されたIoCsとTTPsを自社ネットワーク内で能動的に捜索し、隠れた脅威を発見することが可能です
セキュリティアラートの充実化： セキュリティツールがアラートを生成する際、STIXデータで充実化することで、アナリストに潜在的な脅威のより完全な姿を提供し、より情報に基づいた対応を可能にします
戦略的脅威インテリジェンス： STIXデータで構造化された脅威インテリジェンスの長期的な傾向を分析することで、組織は脅威の状況をより良く把握し、セキュリティ投資と防御についてより戦略的な決定を下すことができます。

STIX/TAXIIの運用：セキュリティ分析を強化する

CAEPイベントが即時行動のトリガーとなる一方で、TAXII/STIXフィードは、セキュリティ分析と脅威検知能力を大幅に高める深いコンテキストを提供します。

SIEMプラットフォームへ：SIEMはTAXIIを用いて脅威インテリジェンスフィードを取り込み、外部ソースのコンテキストでセキュリティログを強化できます。これにより、表面上は軽微な内部アラートを、既知のグローバル脅威アクターのTTPsと相関させ、低レベルのイベントを即座に高優先度インシデントへとエスカレーションできます
SOARおよび脅威インテリジェンスプラットフォーム（TIP）へ：セキュリティオーケストレーション／自動化／レスポンス（Security Orchestration, Automation, and Response：SOAR）プラットフォームに取り込まれると、STIXのインジケーターは自動的にプレイブックを起動できます。例えば、新たに判明した悪性のIPアドレスを、人手を介さず企業全体のファイアウォールブロックリストに追加するといった動作です

本質的に、SSF/CAEPとSTIX/TAXIIは競合関係ではなく、相互補完的な技術です。理想的なセキュリティアーキテクチャにおいては、アクティブなセッションを保護するための迅速かつ戦術的な意思決定にSSF/CAEPを、常に変化する脅威の状況を把握し防御するために必要な深く戦略的なインテリジェンスを提供するためにSTIX/TAXIIを、双方活用します。

行動喚起

Shared Signalsワーキンググループは、これらの標準を橋渡しする可能性を実現するため、STIXおよびTAXIIの実装者と協働できることを楽しみにしています。OpenID Foundationは、OASIS、FS-ISAC、その他のパートナー各位と連携し、私たちのコミュニティが両アプローチの橋渡しによる利点を享受できるよう支援していきます。共に、組織やサイロをまたいで相互運用する、より安全なアイデンティティとセキュリティの基盤の採用を進めましょう。

このビジョンを実現するには、これらの補完的な標準を相互運用させる実践的な方法を模索することが必要です。例えば、STIXメッセージをSSFインフラ上で伝送し、セキュリティイベントに即時のコンテキストを付与する、といった形です。逆に、CAEPイベントをTAXII上で提供し、さらなる分析のためのアイデンティティ関連アクションとして扱うこともできます。この相互運用性により、即時の強制力と分析的コンテキストが融合し、セキュリティ価値が高まります。これによって、あるエコシステムのアラートが別のエコシステムでのアクションに結びつき、障壁が取り払われ、応答性の高いセキュリティエコシステムが実現できるでしょう。