TLP
TLP とは何ですか?
TLPTLP は FIRST が維持するシンプルなラベリング方式で、共有するサイバー情報の機微度と再配布できる範囲を示します。
Traffic Light Protocol(TLP)は、FIRST が標準化し、世界中の CSIRT、ISAC、政府機関で用いられている、4 色構成の非技術的なマーキング方式です。現行の TLP 2.0 では CLEAR(旧 WHITE、無制限)、GREEN(コミュニティ内)、AMBER(受信組織とその顧客の Need-to-know 範囲)、AMBER+STRICT(受信組織内に限定)、RED(指名された受信者のみ、再配布不可)の 5 段階が定義されています。TLP 自体は技術的なアクセス制御を行わず、共通の期待値を設定することで、アナリスト間の機微情報のやり取りを明確にします。これらのラベルは文書ヘッダや STIX マーキング、MISP の配布設定などで利用されます。
● 例
- 01
TLP:AMBER+STRICT を付けた CERT アドバイザリは受信組織内のみで使用する。
- 02
TLP:GREEN を付けた MISP イベントは業界コミュニティ内で共有してよい。
● よくある質問
TLP とは何ですか?
TLP は FIRST が維持するシンプルなラベリング方式で、共有するサイバー情報の機微度と再配布できる範囲を示します。 サイバーセキュリティの 防御と運用 カテゴリに属します。
TLP とはどういう意味ですか?
TLP は FIRST が維持するシンプルなラベリング方式で、共有するサイバー情報の機微度と再配布できる範囲を示します。
TLP はどのように機能しますか?
Traffic Light Protocol(TLP)は、FIRST が標準化し、世界中の CSIRT、ISAC、政府機関で用いられている、4 色構成の非技術的なマーキング方式です。現行の TLP 2.0 では CLEAR(旧 WHITE、無制限)、GREEN(コミュニティ内)、AMBER(受信組織とその顧客の Need-to-know 範囲)、AMBER+STRICT(受信組織内に限定)、RED(指名された受信者のみ、再配布不可)の 5 段階が定義されています。TLP 自体は技術的なアクセス制御を行わず、共通の期待値を設定することで、アナリスト間の機微情報のやり取りを明確にします。これらのラベルは文書ヘッダや STIX マーキング、MISP の配布設定などで利用されます。
TLP からどのように防御しますか?
TLP に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
TLP の別名は何ですか?
一般的な別名: トラフィックライトプロトコル, TLP 2.0。
● 関連用語
- defense-ops№ 1105
STIX
STIX は OASIS が策定したオープン標準で、サイバー脅威インテリジェンスを構造化された機械可読な形式で表現・交換するための言語です。
- defense-ops№ 684
MISP
MISP は、信頼できるコミュニティ間で構造化された指標とアナリストの文脈を収集・保管・相関分析・共有するためのオープンソース脅威インテリジェンスプラットフォームです。
- defense-ops№ 1133
TAXII Protocol
TAXII は HTTPS 上で動作する OASIS のアプリケーション層プロトコルで、組織間でサイバー脅威インテリジェンス(主に STIX)を公開・発見・取得するために使われます。
- defense-ops№ 771
OTX
OTX は当初 AlienVault が立ち上げ、現在は LevelBlue が運営する、オープンでコミュニティ主導の脅威インテリジェンス交換プラットフォームで、研究者は Pulse として指標を公開します。
- defense-ops№ 1148
脅威インテリジェンス
脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。
- forensics-ir№ 524
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。