Internet Engineering Task Force (IETF)                         C. Inacio
Request for Comments: 8134                                           CMU
Category: Informational                                      D. Miyamoto
ISSN: 2070-1721                                                   UTokyo
                                                                May 2017

Management Incident Lightweight Exchange (MILE) Implementation Report




This document is a collection of implementation reports from vendors, consortiums, and researchers who have implemented one or more of the standards published from the IETF INCident Handling (INCH) and Management Incident Lightweight Exchange (MILE) working groups.


Status of This Memo


This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントはInternet Standards Trackの仕様ではありません。情報提供を目的として公開されています。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 7841.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補であるとは限りません。 RFC 7841のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at


Copyright Notice


Copyright (c) 2017 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2017 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents ( in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

Table of Contents


   1.  Introduction  . . . . . . . . . . . . . . . . . . . . . . . .   3
   2.  Consortiums and Information Sharing and Analysis Centers
       (ISACs) . . . . . . . . . . . . . . . . . . . . . . . . . . .   4
     2.1.  Anti-Phishing Working Group . . . . . . . . . . . . . . .   4
     2.2.  Advanced Cyber Defence Centre . . . . . . . . . . . . . .   4
     2.3.  Research and Education Networking Information Sharing and
           Analysis Center . . . . . . . . . . . . . . . . . . . . .   4
   3.  Open Source Implementations . . . . . . . . . . . . . . . . .   4
     3.1.  EMC/RSA RID Agent . . . . . . . . . . . . . . . . . . . .   4
     3.2.  NICT IODEF-SCI implementation . . . . . . . . . . . . . .   5
     3.3.  n6  . . . . . . . . . . . . . . . . . . . . . . . . . . .   5
   4.  Vendor Implementations  . . . . . . . . . . . . . . . . . . .   6
     4.1.  Deep Secure . . . . . . . . . . . . . . . . . . . . . . .   6
     4.2.  IncMan Suite, DFLabs  . . . . . . . . . . . . . . . . . .   7
     4.3.  Surevine Proof of Concept . . . . . . . . . . . . . . . .   8
     4.4.  MANTIS Cyber-Intelligence Management Framework  . . . . .   8
   5.  Vendors with Planned Support  . . . . . . . . . . . . . . . .   9
     5.1.  Threat Central, HP  . . . . . . . . . . . . . . . . . . .   9
     5.2.  DAEDALUS, NICT  . . . . . . . . . . . . . . . . . . . . .   9
   6.  Other Implementations . . . . . . . . . . . . . . . . . . . .  10
     6.1.  Collaborative Incident Management System  . . . . . . . .  10
     6.2.  Automated Incident Reporting - AirCERT  . . . . . . . . .  10
     6.3.  US Department of Energy CyberFed  . . . . . . . . . . . .  11
   7.  Implementation Guide  . . . . . . . . . . . . . . . . . . . .  11
     7.1.  Code Generators . . . . . . . . . . . . . . . . . . . . .  11
     7.2.  iodeflib  . . . . . . . . . . . . . . . . . . . . . . . .  13
     7.3.  iodefpm . . . . . . . . . . . . . . . . . . . . . . . . .  13
     7.4.  Usability . . . . . . . . . . . . . . . . . . . . . . . .  13
   8.  IANA Considerations . . . . . . . . . . . . . . . . . . . . .  14
   9.  Security Considerations . . . . . . . . . . . . . . . . . . .  14
   10. Informative References  . . . . . . . . . . . . . . . . . . .  14
   Acknowledgements  . . . . . . . . . . . . . . . . . . . . . . . .  16
   Authors' Addresses  . . . . . . . . . . . . . . . . . . . . . . .  16
1. Introduction
1. はじめに

This document is a collection of information about security incident reporting protocols and the implementation of systems that use them to share such information. It is simply a collection of information, and it makes no attempt to compare the various standards or implementations. As such, it will be of interest to network operators who wish to collect and share such data.


Operationally, operators would need to decide which incident data collection group they want to be part of, and that choice will strongly influence their choice of reporting protocol and applications used to gather and distribute the data.


This document is a collection of implementation reports from vendors and researchers who have implemented one or more of the standards published from the INCH and MILE working groups. The standards include:


o Incident Object Description Exchange Format (IODEF) v1 [RFC5070]

o インシデントオブジェクト記述交換フォーマット(IODEF)v1 [RFC5070]

o Incident Object Description Exchange Format (IODEF) v2 [RFC7970]

o インシデントオブジェクト記述交換フォーマット(IODEF)v2 [RFC7970]

o Extensions to the IODEF-Document Class for Reporting Phishing [RFC5901]

o フィッシングを報告するためのIODEF-Documentクラスの拡張[RFC5901]

o Sharing Transaction Fraud Data [RFC5941]

o トランザクション詐欺データの共有[RFC5941]

o Real-time Inter-network Defense (RID) [RFC6545]

o リアルタイムネットワーク間防御(RID)[RFC6545]

o Transport of Real-time Inter-network Defense (RID) Messages over HTTP/TLS [RFC6546]

o HTTP / TLSを介したリアルタイムのネットワーク間防御(RID)メッセージのトランスポート[RFC6546]

o Incident Object Description Exchange Format (IODEF) Extension for Structured Cybersecurity Information (SCI) [RFC7203]

o 構造化サイバーセキュリティ情報(SCI)のインシデントオブジェクト記述交換フォーマット(IODEF)拡張[RFC7203]

The implementation reports included in this document have been provided by the team or product responsible for the implementations of the mentioned RFCs. A more complete list of implementations, including open source efforts and vendor products, can also be found at the following location:


2. Consortiums and Information Sharing and Analysis Centers (ISACs)
2. コンソーシアムと情報共有および分析センター(ISAC)
2.1. Anti-Phishing Working Group
2.1. フィッシング対策ワーキンググループ

The Anti-Phishing Working Group (APWG) is one of the biggest coalitions against cybercrime, especially phishing. In order to collect threat information in a structured format, APWG provides a phishing and cybercrime reporting tool that sends threat information to APWG by tailoring information with the IODEF format, based on RFC 5070 [RFC5070] and RFC 5901 [RFC5901].

フィッシング対策ワーキンググループ(APWG)は、サイバー犯罪、特にフィッシングに対する最大の連合の1つです。構造化された形式で脅威情報を収集するために、APWGはRFC 5070 [RFC5070]およびRFC 5901 [RFC5901]に基づいてIODEF形式で情報を調整することにより脅威情報をAPWGに送信するフィッシングおよびサイバー犯罪レポートツールを提供します。

2.2. Advanced Cyber Defence Centre
2.2. 高度なサイバー防御センター

The Advanced Cyber Defence Centre (ACDC) is a Europe-wide activity to fight against botnets. ACDC provides solutions to mitigate on-going attacks and consolidates information provided by various stakeholders into a pool of knowledge. Within ACDC, IODEF is one of the supported schemas for exchanging the information.

Advanced Cyber​​ Defense Center(ACDC)は、ボットネットと戦うヨーロッパ全体の活動です。 ACDCは、進行中の攻撃を緩和するソリューションを提供し、さまざまな利害関係者から提供された情報を知識のプールに統合します。 ACDC内では、IODEFは情報を交換するためにサポートされているスキーマの1つです。

2.3. Research and Education Networking Information Sharing and Analysis Center

2.3. 研究教育ネットワーク情報共有および分析センター

The Research and Education Networking Information Sharing and Analysis Center (REN-ISAC) is a private community of researchers and higher-education members that share threat information and employs IODEF formatted-messages to exchange information.


REN-ISAC also recommends using an IODEF attachment provided with a notification email for processing rather than relying on parsing of the body text of email. The tools provided by REN-ISAC are designed to handle such email.

REN-ISACでは、電子メールの本文の解析に依存するのではなく、通知電子メールに付属のIODEF添付ファイルを使用して処理することも推奨しています。 REN-ISACが提供するツールは、このような電子メールを処理するように設計されています。

3. Open Source Implementations
3. オープンソースの実装
3.1. EMC/RSA RID Agent
3.1. EMC / RSA RIDエージェント

The EMC/RSA RID agent is an open source implementation of the IETF standards for the exchange of incident and indicator data. The code has been released under an MIT license, and development will continue with the open source community at the GitHub site for RSA Intelligence Sharing:

EMC / RSA RIDエージェントは、インシデントデータとインジケーターデータを交換するためのIETF標準のオープンソース実装です。コードはMITライセンスの下でリリースされており、RSA Intelligence SharingのGitHubサイトにあるオープンソースコミュニティで開発が継続されます。


The code implements the Real-time Inter-network Defense (RID) described in RFC 6545 [RFC6545] and the Transport of RID over HTTP/ TLS protocol described in [RFC6546]. The code supports the evolving Incident Object Description Exchange Format (IODEF) data model [RFC7970] from the work in the IETF Managed Incident Lightweight Exchange (MILE) working group.

コードは、RFC 6545 [RFC6545]で説明されているReal-time Inter-network Defense(RID)と、[RFC6546]で説明されているHTTP / TLSプロトコルを介したRIDのトランスポートを実装しています。コードは、IETF管理インシデントライトウェイトエクスチェンジ(MILE)ワーキンググループの作業からの進化するインシデントオブジェクト記述交換フォーマット(IODEF)データモデル[RFC7970]をサポートしています。

3.2. NICT IODEF-SCI implementation

Japan's National Institute of Information and Communications Technology (NICT) Network Security Research Institute implemented open source tools for exchanging, accumulating, and locating IODEF-SCI [RFC7203] documents.

日本の国立情報通信技術研究所(NICT)ネットワークセキュリティ研究所は、IODEF-SCI [RFC7203]ドキュメントを交換、蓄積、検索するためのオープンソースツールを実装しました。

Three tools are available from GitHub. These tools assist the exchange of IODEF-SCI documents between parties. IODEF-SCI [RFC7203] extends IODEF so that an IODEF document can embed Structured Cybersecurity Information (SCI). For instance, it can embed Malware Metadata Exchange Format (MMDEF), Common Event Expression (CEE), Malware Attribute Enumeration and Characterization (MAEC) in XML, and Common Vulnerabilities and Exposures (CVE) identifiers.

GitHubから3つのツールを入手できます。これらのツールは、当事者間のIODEF-SCIドキュメントの交換を支援します。 IODEF-SCI [RFC7203]はIODEFを拡張して、IODEFドキュメントが構造化サイバーセキュリティ情報(SCI)を埋め込むことができるようにします。たとえば、Malware Metadata Exchange Format(MMDEF)、Common Event Expression(CEE)、Malware Attribute Enumeration and Characterization(MAEC)、およびCommon Vulnerabilities and Exposures(CVE)識別子を埋め込むことができます。

The three tools are generator, exchanger, and parser. The generator generates IODEF-SCI documents or appends XML to an existing IODEF document. The exchanger sends the IODEF document to a specified correspondent node. The parser receives, parses, and stores the IODEF-SCI document. The parser also creates an interface that enables users to locate IODEF-SCI documents that have previously been received. The code has been released under an MIT license and development will continue on GitHub.


Note that users can enjoy using this software at their own risk.


Available Online:


3.3. n6
3.3. n6

n6 is a platform for processing security-related information; it was developed by the Poland Research and Academic Computer Network (NASK) Computer Emergency Response Team (CERT) Polska. The n6 API provides a common and unified way of representing data across the different sources that participate in knowledge management.

n6は、セキュリティ関連情報を処理するためのプラットフォームです。これは、ポーランドの研究および学術コンピューターネットワーク(NASK)コンピューター緊急対応チーム(CERT)Polskaによって開発されました。 n6 APIは、ナレッジ管理に参加するさまざまなソース間でデータを表す共通の統一された方法を提供します。

n6 exposes a REST-ful (Representational State Transfer) API over HTTPS with mandatory authentication via Transport Layer Security (TLS) client certificates to ensure confidential and trustworthy communications. Moreover, it uses an event-based data model for representation of all types of security information.

n6は、トランスポート層セキュリティ(TLS)クライアント証明書による必須認証を使用してHTTPS経由のRESTフル(Representational State Transfer)APIを公開し、機密で信頼できる通信を保証します。さらに、すべてのタイプのセキュリティ情報の表現にイベントベースのデータモデルを使用します。

Each event is represented as a JSON object with a set of mandatory and optional attributes. n6 also supports alternative output data formats for keeping compatibility with existing systems - IODEF and CSV - although these formats lack some of the attributes that may be present in the native JSON format.

各イベントは、一連の必須属性とオプション属性を持つJSONオブジェクトとして表されます。 n6は、既存のシステム(IODEFおよびCSV)との互換性を維持するための代替出力データ形式もサポートしていますが、これらの形式には、ネイティブJSON形式に存在する可能性のある属性の一部がありません。

Available Online:


4. Vendor Implementations
4. ベンダーの実装
4.1. Deep Secure
4.1. ディープセキュア

Deep-Secure Guards are built to protect a trusted domain from:

Deep-Secure Guardは、信頼されたドメインを以下から保護するために構築されています。

o releasing sensitive data that does not meet the organizational security policy, and

o 組織のセキュリティポリシーを満たさない機密データをリリースする。

o applications receiving badly constructed or malicious data that could exploit a vulnerability (known or unknown).

o 脆弱性(既知または未知)を悪用する可能性のある不正に構築されたデータまたは悪意のあるデータを受信するアプリケーション。

Deep-Secure Guards support HTTPS and the Extensible Messaging and Presence Protocol (XMPP -- optimized server-to-server protocol), transports. The Deep-Secure Guards support transfer of XML-based business content by creating a schema to translate the known good content to and from the intermediate format. This means that the Deep-Secure Guards can be used to protect:

Deep-Secure Guardは、HTTPSおよびExtensible Messaging and Presence Protocol(XMPP-最適化されたサーバー間プロトコル)、トランスポートをサポートします。 Deep-Secure Guardは、既知の適切なコンテンツを中間形式との間で変換するスキーマを作成することにより、XMLベースのビジネスコンテンツの転送をサポートします。これは、Deep-Secure Guardを使用して以下を保護できることを意味します。

o IODEF/RID using the HTTPS transport binding [RFC6546]

o HTTPSトランスポートバインディングを使用したIODEF / RID [RFC6546]

o IODEF/RID using an XMPP binding

o XMPPバインディングを使用したIODEF / RID

o Resource-Oriented Lightweight Indicator Exchange (ROLIE) using HTTPS transport binding [XEP-0268]

o HTTPSトランスポートバインディングを使用したリソース指向の軽量インジケーター交換(ROLIE)[XEP-0268]

o Structured Threat Information Expression (STIX) / Trusted Automated Exchange of Indicator Information (TAXII) using the HTTPS transport binding

o 構造化脅威情報表現(STIX)/ HTTPSトランスポートバインディングを使用したインジケータ情報の信頼できる自動交換(TAXII)

Deep-Secure Guards also support the SMTP transport and perform deep content inspection of content including XML attachments. The Mail Guard supports S/MIME, and Deep Secure is working on support for the upcoming PLASMA standard, which enables an information-centric policy enforcement of data use.

Deep-Secure Guardは、SMTPトランスポートもサポートし、XML添付ファイルを含むコンテンツの詳細なコンテンツ検査を実行します。 Mail GuardはS / MIMEをサポートしており、Deep Secureは、データ中心のポリシー使用によるデータの使用を可能にする次のPLASMA標準のサポートに取り組んでいます。

4.2. IncMan Suite, DFLabs
4.2. IncMan Suite、DFLabs

The Incident Object Description Exchange Format, documented in RFC 5070 [RFC5070], defines a data representation that provides a framework for sharing information commonly exchanged by Computer Security Incident Response Teams (CSIRTs) about computer security incidents. IncMan Suite implements the IODEF standard for exchanging details about incidents, either for exporting or importing activities. This has been introduced to enhance the capabilities of the various CSIRTs to facilitate collaboration and sharing of useful experiences (sharing awareness on specific cases).

RFC 5070 [RFC5070]で文書化されているインシデントオブジェクト記述交換フォーマットは、コンピュータセキュリティインシデントについてコンピュータセキュリティインシデントレスポンスチーム(CSIRT)によって一般的に交換される情報を共有するためのフレームワークを提供するデータ表現を定義します。 IncMan Suiteは、アクティビティのエクスポートまたはインポートのために、インシデントに関する詳細を交換するためのIODEF標準を実装しています。これは、さまざまなCSIRTの機能を強化して、コラボレーションと便利なエクスペリエンスの共有を促進するために導入されました(特定のケースについての認識を共有します)。

The IODEF implementation is specified as an XML schema; therefore all data are stored in an XML file. In this file, all the data of an incident are organized in a hierarchical structure to describe the various objects and their relationships.


The IncMan Suite relies on IODEF as a transport format, which is composed by various classes for describing the entities that are part of the incident description. For instance, the various relevant timestamps (detection time, start time, end time, and report time), the techniques used by the intruders to perpetrate the incident, the impact of the incident, technical and non-technical (time and monetary), and obviously all systems involved in the incident.

IncMan Suiteは、インシデントの説明の一部であるエンティティを説明するためのさまざまなクラスで構成されるトランスポートフォーマットとしてIODEFに依存しています。たとえば、関連するさまざまなタイムスタンプ(検出時刻、開始時刻、終了時刻、レポート時刻)、侵入者がインシデントを実行するために使用する手法、インシデントの影響、技術的および非技術的(時間と金額)、そして明らかに、事件に関与するすべてのシステム。

4.2.1. Exporting Incidents
4.2.1. インシデントのエクスポート

Each incident defined in the IncMan Suite can be exported via a user interface feature, and it will create an XML document. Due to the nature of the data processed, the IODEF extraction might be considered privacy sensitive by the parties exchanging the information or by those described by it. For this reason, specific care needs to be taken in ensuring the distribution to an appropriate audience or third party, either during the document exchange or the subsequent processing.

IncMan Suiteで定義された各インシデントは、ユーザーインターフェイス機能を介してエクスポートでき、XMLドキュメントを作成します。処理されるデータの性質により、IODEF抽出は、情報を交換する当事者または情報によって記述される当事者によってプライバシーの機密と見なされる場合があります。このため、ドキュメントの交換中またはその後の処理中に、適切な対象者また​​はサードパーティに確実に配布するように特別な注意を払う必要があります。

The XML document generated will include a description and details of the incident along with all the systems involved and the related information. At this stage, it can be distributed for import into a remote system.


4.2.2. Importing Incidents
4.2.2. インシデントのインポート

The IncMan Suite provides the functionality to import incidents stored in files and transported via IODEF-compliant XML documents. The importing process is comprised of two steps: first, the file is inspected to validate if it is well formed; second, all data are uploaded inside the system.

IncMan Suiteは、ファイルに保存され、IODEF準拠のXMLドキュメントを介して転送されるインシデントをインポートする機能を提供します。インポートプロセスは2つのステップで構成されています。最初に、ファイルが適切な形式であるかどうかを検証するために検査されます。次に、すべてのデータがシステム内にアップロードされます。

If the incident already exists in the system with the same incident ID, the new one being imported will be created under a new ID. This approach prevents accidentally overwriting existing information or merging inconsistent data.


The IncMan Suite also includes a feature to upload incidents from emails.

IncMan Suiteには、電子メールからインシデントをアップロードする機能も含まれています。

The incident, described in XML format, can be stored directly into the body of the email message or transported as an attachment of the email. At regular intervals that are customizable by the user, the IncMan Suite monitors for incoming emails, which are filtered by a configurable white-list and black-list mechanism on the sender's email account. Then, a parser processes the received email and a new incident is created automatically after having validated the email body or the attachment to ensure the format is well formed.

XML形式で記述されたインシデントは、電子メールメッセージの本文に直接保存するか、電子メールの添付ファイルとして転送できます。 IncMan Suiteは、ユーザーがカスタマイズできる定期的な間隔で、送信者の電子メールアカウントの構成可能なホワイトリストおよびブラックリストメカニズムによってフィルター処理される受信電子メールを監視します。次に、パーサーが受信した電子メールを処理し、電子メールの本文または添付ファイルを検証した後、新しいインシデントが自動的に作成され、形式が正しい形式であることを確認します。

4.3. Surevine Proof of Concept
4.3. Surevineの概念実証

XMPP is enhanced and extended through the XMPP Extension Protocols (XEPs). XEP-0268 [XEP-0268] describes incident management (using IODEF) of the XMPP network itself, effectively supporting self-healing the XMPP network. In order to more generically cover the incident management of a network over the same network, XEP-0268 requires some updates. We are working on these changes together with a new XEP that supports "social networking" over XMPP, which enhances the publish-and-subscribe XEP [XEP-0060]. This now allows nodes to publish and subscribe to any type of content and therefore receive the content. XEP-0060 will be used to describe IODEF content. We now have an alpha version of the server-side software and client-side software required to demonstrate the "social networking" capability and are currently enhancing this to support cyber incident management in real time.

XMPPは、XMPP拡張プロトコル(XEP)によって拡張および拡張されます。 XEP-0268 [XEP-0268]は、XMPPネットワーク自体のインシデント管理(IODEFを使用)を説明し、XMPPネットワークの自己修復を効果的にサポートします。同じネットワーク上のネットワークのインシデント管理をより一般的にカバーするために、XEP-0268はいくつかの更新を必要とします。 XMPPを介した「ソーシャルネットワーキング」をサポートする新しいXEPとともにこれらの変更に取り組んでおり、パブリッシュアンドサブスクライブXEP [XEP-0060]を強化しています。これにより、ノードは任意のタイプのコンテンツをパブリッシュおよびサブスクライブして、コンテンツを受信できるようになりました。 XEP-0060は、IODEFコンテンツを記述するために使用されます。現在、「ソーシャルネットワーキング」機能を実証するために必要なサーバー側ソフトウェアとクライアント側ソフトウェアのアルファバージョンがあり、現在これを強化して、リアルタイムでサイバーインシデント管理をサポートしています。

4.4. MANTIS Cyber-Intelligence Management Framework
4.4. MANTISサイバーインテリジェント管理フレームワーク

Model-based Analysis of Threat Intelligence Sources (MANTIS) provides an example implementation of a framework for managing cyber threat intelligence expressed in standards such as STIX, Cyber Observable Expression (CybOX), IODEF, etc. The aims of providing such an example implementation are as follows:

モデルベースの脅威インテリジェンスソースの分析(MANTIS)は、STIX、Cyber​​ Observable Expression(CybOX)、IODEFなどの標準で表現されたサイバー脅威インテリジェンスを管理するためのフレームワークの実装例を提供します。このような実装例を提供する目的は、次のように:

o To facilitate discussions about emerging standards such as STIX, CybOX, et al., with respect to questions regarding tooling: how would a certain aspect be implemented, and how do changes affect an implementation? Such discussions become much easier and have a better basis if they can be lead in the context of example tooling that is known to the community.

o ツールに関する質問に関して、STIX、CybOXなどの新しい標準についての議論を促進するために:特定の側面がどのように実装され、変更が実装にどのように影響するか?このような議論は、コミュニティに知られているツールの例の文脈で主導できる場合、はるかに容易になり、より良い基盤になります。

o To lower the barrier of entry for organizations and teams (especially CSIRT/CERT teams) in using emerging standards for cyber-threat-intelligence management and exchange.

o サイバー脅威インテリジェンスの管理と交換のための新たな標準を使用することで、組織とチーム(特にCSIRT / CERTチーム)の参入障壁を下げる。

o To provide a platform on the basis of which research and community-driven development in the area of cyber-threat-intelligence management can occur.

o サイバー脅威インテリジェンス管理の分野での研究とコミュニティ主導の開発に基づくプラットフォームを提供すること。

5. Vendors with Planned Support
5. 計画的サポートのあるベンダー
5.1. Threat Central, HP
5.1. 脅威セントラル、HP

HP has developed HP Threat Central, a security intelligence platform that enables automated, real-time collaboration between organizations to combat today's increasingly sophisticated cyber attacks. One way automated sharing of threat indicators is achieved is through close integration with the HP ArcSight Security Information and Event Management (SIEM) for automated upload and consumption of information from the Threat Central Server. In addition, HP Threat Central supports open standards for sharing threat information so that participants who do not use HP Security Products can participate in the sharing ecosystem. It is planned that future versions will also support IODEF for the automated upload and download of threat information.

HPは、組織間で自動化されたリアルタイムのコラボレーションを可能にし、ますます高度化する今日のサイバー攻撃に対抗できるセキュリティインテリジェンスプラットフォームであるHP Threat Centralを開発しました。脅威インジケーターの自動共有を実現する1つの方法は、HP ArcSight Security Information and Event Management(SIEM)と密接に統合して、Threat Central Serverからの情報の自動アップロードおよび消費を行うことです。さらに、HP Threat Centralは脅威情報を共有するためのオープンスタンダードをサポートしているため、HPセキュリティ製品を使用しない参加者も共有エコシステムに参加できます。将来のバージョンでは、脅威情報の自動アップロードおよびダウンロード用のIODEFもサポートされる予定です。

5.2. ダイダロス、NICT

DAEDALUS is a real-time alert system based on a large-scale darknet monitoring facility that has been deployed as a part of the Network Incident analysis Center for Tactical Emergency Response (nicter) system of NICT, which is based in Japan. DAEDALUS consists of an analysis center (i.e., nicter) and several cooperative organizations. Each organization installs a darknet sensor and establishes a secure channel between it and the analysis center, and it continuously forwards darknet traffic toward the center. In addition, each organization registers the IP address range of its livenet at the center in advance. When these distributed darknet sensors observe malware activities from the IP address of a cooperating organization, then the analysis center sends an alert to the organization. The future version of DAEDALUS will support IODEF for sending alert messages to the users.

DAEDALUSは、日本に拠点を置くNICTの戦術緊急応答(nicter)システムのネットワークインシデント分析センターの一部として展開されている大規模なダークネットモニタリング機能に基づくリアルタイムアラートシステムです。 DAEDALUSは分析センター(つまり、nicter)といくつかの協力組織で構成されています。各組織はダークネットセンサーを設置し、それと分析センターの間に安全なチャネルを確立し、ダークネットトラフィックを継続的にセンターに転送します。また、事前に各組織がセンターにライブネットのIPアドレス範囲を登録しています。これらの分散型ダークネットセンサーが協力組織のIPアドレスからのマルウェア活動を観察すると、分析センターは組織にアラートを送信します。 DAEDALUSの将来のバージョンでは、ユーザーにアラートメッセージを送信するためのIODEFをサポートする予定です。

6. Other Implementations
6. その他の実装
6.1. Collaborative Incident Management System
6.1. 協調型インシデント管理システム

A Collaborative Incident Management System (CIMS) is a proof-of-concept system for collaborative incident handling and for the sharing of information about cyber defense situational awareness between the participants; it was developed for the Cyber Coalition 2013 (CC13) exercise organized by the North Atlantic Treaty Organization (NATO). CIMS was implemented based on Request Tracker (RT), an open source software widely used for handling incident responses by many CERTs and CSIRTs.

コラボレーティブインシデント管理システム(CIMS)は、コラボレーティブインシデント処理および参加者間のサイバー防御状況認識に関する情報の共有のための概念実証システムです。北大西洋条約機構(NATO)が主催するサイバー連合2013(CC13)の演習のために開発されました。 CIMSは、多くのCERTおよびCSIRTによるインシデントレスポンスの処理に広く使用されているオープンソースソフトウェアであるRequest Tracker(RT)に基づいて実装されました。

One of the functionalities implemented in CIMS was the ability to import and export IODEF messages in the body of emails. The intent was to verify the suitability of IODEF to achieve the objective of collaborative incident handling. The customized version of RT could be configured to send an email message containing an IODEF message whenever an incident ticket was created, modified, or deleted. These IODEF messages would then be imported into other incident handling systems in order to allow participating CSIRTs to use their usual means for incident handling while still interacting with those using the proof-of-concept CIMS. Having an IODEF message generated for every change made to the incident information in RT (and for the system to allow incoming IODEF email messages to be associated to an existing incident) would in some way allow all participating CSIRTs to actually work on a "common incident ticket", at least at the conceptual level. Of particular importance was the ability for users to exchange information between each other concerning actions taken in the handling of a particular incident, thus creating a sort of common action log as well as requesting/tasking others to provide information or perform a specified action and correlating received responses to the original request or task. As well, a specific "profile" was developed to identify a subset of the IODEF classes that would be used during the exercise in an attempt to channel all users into a common usage pattern of the otherwise flexible IODEF standard.

CIMSに実装された機能の1つは、電子メールの本文でIODEFメッセージをインポートおよびエクスポートする機能でした。意図は、協調的なインシデント処理の目的を達成するためのIODEFの適合性を検証することでした。インシデントチケットが作成、変更、または削除されるたびに、IODEFメッセージを含む電子メールメッセージを送信するように、RTのカスタマイズバージョンを構成できます。次に、これらのIODEFメッセージを他のインシデント処理システムにインポートして、参加しているCSIRTが通常のインシデント処理方法を使用しながら、概念実証CIMSを使用しているものと対話できるようにします。 RTのインシデント情報に加えられたすべての変更に対してIODEFメッセージが生成される(そして、システムが着信IODEF電子メールメッセージを既存のインシデントに関連付けられるようにする)と、何らかの方法で、参加しているすべてのCSIRTが実際に「一般的なインシデント」に対処できるようになりますチケット」、少なくとも概念的なレベルで。特に重要なのは、特定のインシデントの処理で行われたアクションに関してユーザーが相互に情報を交換する機能であり、それによって一種の一般的なアクションログを作成し、他のユーザーに情報の提供または特定のアクションの実行と関連付けを要求/タスクすることです。元の要求またはタスクに対する応答を受け取りました。同様に、特定の「プロファイル」が開発され、他の方法では柔軟なIODEF標準の一般的な使用パターンにすべてのユーザーを導くために、演習中に使用されるIODEFクラスのサブセットが識別されました。

6.2. Automated Incident Reporting - AirCERT
6.2. 自動インシデントレポート-AirCERT

AirCERT was implemented by the CERT / Coordination Center (CC) of Carnegie Mellon's Software Engineering Institute CERT division. AirCERT was designed to be an Internet-scalable distributed system for sharing security event data. The AirCERT system was designed to be an automated collector of flow and Intrusion Detection System (IDS) alerts. AirCERT would collect that information into a relational database and be able to share reporting using IODEF and the Intrusion Detection Message Exchange Format [RFC4765]. AirCERT additionally used SNML [SNML] to exchange information about the network. AirCERT was implemented in a combination of C and Perl modules and included periodic graphing capabilities leveraging the Round-Robin Database Tool (RRDTool).

AirCERTは、カーネギーメロンのSoftware Engineering Institute CERT部門のCERT / Coordination Center(CC)によって実装されました。 AirCERTは、セキュリティイベントデータを共有するためのインターネットスケーラブルな分散システムとして設計されました。 AirCERTシステムは、フローおよび侵入検知システム(IDS)アラートの自動コレクターとして設計されました。 AirCERTはその情報をリレーショナルデータベースに収集し、IODEFと侵入検知メッセージ交換フォーマット[RFC4765]を使用してレポートを共有できます。 AirCERTはさらに、ネットワークに関する情報を交換するためにSNML [SNML]を使用しました。 AirCERTはCモジュールとPerlモジュールの組み合わせで実装され、ラウンドロビンデータベースツール(RRDTool)を活用する定期的なグラフ作成機能が含まれていました。

AirCERT was intended for large-scale distributed deployment and, eventually, the ability to sanitize data to be shared across administrative domains. The architecture was designed to allow collection of data on a per-site basis and to allow each site to create data sharing based on its own particular trust relationships.


6.3. US Department of Energy CyberFed
6.3. 米国エネルギー省サイバーフェッド

The CyberFed system was implemented and deployed by Argonne National Laboratory to automate the detection and response of attack activity against Department of Energy (DoE) computer networks. CyberFed automates the collection of network alerting activity from various perimeter network defenses and logs those events into its database. CyberFed then automatically converts that information into blocking information transmitted to all participants. The original implementation used IODEF messages wrapped in an XML extension to manage a large array of indicators. The CyberFed system was not designed to describe a particular incident as much as to describe a set of current network-blocking indicators that can be generated and deployed machine to machine.

Cyber​​Fedシステムは、エネルギー省(DoE)のコンピューターネットワークに対する攻撃活動の検出と応答を自動化するために、アルゴンヌ国立研究所によって実装および導入されました。 Cyber​​Fedは、さまざまな境界ネットワーク防御からのネットワークアラートアクティビティの収集を自動化し、それらのイベントをデータベースに記録します。 Cyber​​Fedは、その情報を自動的にすべての参加者に送信されるブロック情報に変換します。元の実装では、XML拡張にラップされたIODEFメッセージを使用して、大量のインジケーターを管理していました。 Cyber​​Fedシステムは、特定のインシデントを説明するように設計されておらず、マシン間で生成および展開できる現在のネットワークブロッキングインジケーターのセットを説明するように設計されていません。

CyberFed is primarily implemented in Perl. Included as part of the CyberFed system are scripts that interact with a large number of firewalls, IDS / Intrusion Prevention System (IPS) devices, DNS systems, and proxies that operate to implement both the automated collection of events as well as the automated deployment of black listing.

Cyber​​Fedは主にPerlで実装されています。 Cyber​​Fedシステムの一部として含まれているのは、多数のファイアウォール、IDS /侵入防止システム(IPS)デバイス、DNSシステム、およびイベントの自動収集と自動展開の両方を実装するように動作するプロキシと相互作用するスクリプトです。ブラックリスト。

Currently, CyberFed supports multiple exchange formats including IODEF and STIX. Open Indicators of Compromise (OpenIOC) is also a potential exchange format that the US DoE is considering.


7. Implementation Guide
7. 実装ガイド

The section aims at sharing tips for development of IODEF-capable systems.


7.1. Code Generators
7.1. コードジェネレーター

For implementing IODEF-capable systems, it is feasible to employ code generators for the XML Schema Definition (XSD). The generators are used to save development costs since they automatically create useful libraries for accessing XML attributes, composing messages, and/or validating XML objects. The IODEF XSD was defined in Section 8 of RFC 5070 [RFC5070] and is available from the "ns" registry <>.

IODEF対応システムを実装するために、XMLスキーマ定義(XSD)のコードジェネレーターを使用することができます。ジェネレーターは、XML属性へのアクセス、メッセージの作成、XMLオブジェクトの検証に役立つライブラリーを自動的に作成するため、開発コストを節約するために使用されます。 IODEF XSDはRFC 5070 [RFC5070]のセクション8で定義されており、「ns」レジストリ<>から入手できます。

However, some issues remain. Due to the complexity of the IODEF XSD, some code generators could not generate code from the XSD file. The tested code generators are as follows.

ただし、いくつかの問題が残っています。 IODEF XSDは複雑なため、一部のコードジェネレーターはXSDファイルからコードを生成できませんでした。テストしたコードジェネレーターは次のとおりです。

o XML::Pastor [XSD:Perl] (Perl)

o XML :: Pastor [XSD:Perl](Perl)

o RXSD [XSD:Ruby] (Ruby)

o RXSD [XSD:Ruby](Ruby)

o PyXB [XSD:Python] (Python)

o PyXB [XSD:Python](Python)

o JAXB [XSD:Java] (Java)

o JAXB [XSD:Java](Java)

o CodeSynthesis XSD [XSD:Cxx] (C++)

o CodeSynthesis XSD [XSD:Cxx](C ++)

o Xsd.exe [XSD:CS] (C#)

o Xsd.exe [XSD:CS](C#)

For instance, we have tried to use XML::Pastor, but it could not properly understand its schema due to the complexity of IODEF XSD. The same applies to Ruby XSD (RXSD) and Java Architecture for XML Binding (JAXB). Only Python XML Schema Bindings (PyXB), CodeSynthesis XSD, and Xsd.exe were able to understand the complex schema.

たとえば、XML :: Pastorを使用しようとしましたが、IODEF XSDの複雑さのため、スキーマを正しく理解できませんでした。 Ruby XSD(RXSD)およびXMLバインディング用のJavaアーキテクチャ(JAXB)にも同じことが当てはまります。 Python XMLスキーマバインディング(PyXB)、CodeSynthesis XSD、およびXsd.exeのみが複雑なスキーマを理解できました。

Unfortunately, there is no recommended workaround. A possible workaround is a double conversion of the XSD file. This entails the XSD being serialized into XML; afterwards, the resulting XML is converted back into an XSD. The resultant XSD was successfully processed by all the tools listed above.


It should be noted that IODEF uses '-' (hyphen) symbols in its classes or attributes, which are listed as follows:

IODEFは、クラスまたは属性で '-'(ハイフン)記号を使用することに注意してください。

o IODEF-Document Class: It is the top-level class in the IODEF data model described in Section 3.1 of RFC 5070 [RFC5070].

o IODEFドキュメントクラス:これは、RFC 5070 [RFC5070]のセクション3.1で説明されているIODEFデータモデルの最上位クラスです。

o The vlan-name and vlan-num Attributes: According to Section 3.16.2 of RFC 5070 [RFC5070], they are the name and number of Virtual LAN and are the attributes for Address class.

o vlan-nameおよびvlan-num属性:RFC 5070 [RFC5070]のセクション3.16.2によると、これらは仮想LANの名前と番号であり、アドレスクラスの属性です。

o Extending the Enumerated Values of Attribute: According to Section 5.1 of RFC 5070 [RFC5070], this is an extension technique to add new enumerated values to an attribute, and it has a prefix of "ext-", e.g., ext-value, ext-category, ext-type, and so on.

o 属性の列挙値の拡張:RFC 5070 [RFC5070]のセクション5.1によると、これは新しい列挙値を属性に追加するための拡張手法であり、「ext-」という接頭辞が付いています(例:ext-value、ext) -category、ext-typeなど。

According to the language specification, many programming languages prohibit having '-' symbols in the name of class. The code generators must replace or remove the '-' when building the libraries. They should have the name space restore the '-' when outputting the XML along with IODEF XSD.

言語仕様によれば、多くのプログラミング言語では、クラスの名前に「-」記号を使用できません。ライブラリをビルドするとき、コードジェネレーターは「-」を置換または削除する必要があります。 IODEF XSDと共にXMLを出力する場合、名前空間で「-」を復元する必要があります。

7.2. iodeflib
7.2. iodeflib

iodeflib is an open source implementation written in Python. This provides simple but powerful APIs to create, parse, and edit IODEF documents. It was designed in order to keep its interface as simple as possible, whereas generated libraries tend to inherit the complexity of IODEF XSD. In addition, the iodeflib interface includes functions to hide some unnecessarily nested structures of the IODEF schema and add more convenient shortcuts.

iodeflibは、Pythonで記述されたオープンソースの実装です。これは、IODEFドキュメントを作成、解析、編集するためのシンプルでありながら強力なAPIを提供します。生成されたライブラリはIODEF XSDの複雑さを継承する傾向があるのに対し、それはそのインターフェースをできるだけ単純に保つために設計されました。さらに、iodeflibインターフェイスには、IODEFスキーマの不要にネストされた構造を非表示にし、より便利なショートカットを追加する関数が含まれています。

This tool is available through the following link:


7.3. iodefpm
7.3. iodefpm is an open source implementation written in Perl. This also provides a simple interface for creating and parsing IODEF documents in order to facilitate the translation of the key-value-based format to the IODEF representation. The module contains a generic XML DTD parser and includes a simplified node-based representation of the IODEF DTD. Hence, it can easily be upgraded or extended to support new XML nodes or other DTDs.

IODEF.pmは、Perlで記述されたオープンソースの実装です。これは、キー値ベースのフォーマットからIODEF表現への変換を容易にするために、IODEFドキュメントを作成および解析するためのシンプルなインターフェースも提供します。このモジュールには、汎用のXML DTDパーサーが含まれており、IODEF DTDの簡略化されたノードベースの表現が含まれています。したがって、新しいXMLノードや他のDTDをサポートするように簡単にアップグレードまたは拡張できます。

This tool is available through the following link:


7.4. Usability
7.4. 使いやすさ

Some tips to avoid problems are noted here:


o IODEF has a category attribute for the NodeRole class. Though various categories are described, they are not sufficient. For example, in the case of webmail servers, should the user choose "www" or "mail"? One suggestion is to select "mail" as the category attribute and add "www" for another attribute.

o IODEFには、NodeRoleクラスのカテゴリ属性があります。さまざまなカテゴリが説明されていますが、それらは十分ではありません。たとえば、ウェブメールサーバーの場合、ユーザーは「www」または「メール」を選択する必要がありますか? 1つの提案は、カテゴリー属性として「メール」を選択し、別の属性に「www」を追加することです。

o The numbering of incident IDs needs to be considered. Otherwise, information, such as the number of incidents within a certain period, could be observed by document receivers. This is easily mitigated by randomizing the assignment of incident IDs.

o インシデントIDの番号付けを考慮する必要があります。そうしないと、特定の期間内のインシデントの数などの情報がドキュメントの受信者によって監視される可能性があります。これは、インシデントIDの割り当てをランダム化することで簡単に軽減できます。

8. IANA Considerations
8. IANAに関する考慮事項

This memo does not require any IANA actions.


9. Security Considerations
9. セキュリティに関する考慮事項

This document provides a summary of implementation reports from researchers and vendors who have implemented RFCs and drafts from the MILE and INCH working groups. There are no security considerations added because of the nature of the document.


10. Informative References
10. 参考引用

[RFC4765] Debar, H., Curry, D., and B. Feinstein, "The Intrusion Detection Message Exchange Format (IDMEF)", RFC 4765, DOI 10.17487/RFC4765, March 2007, <>.

[RFC4765] Debar、H.、Curry、D。、およびB. Feinstein、「The Intrusion Detection Message Exchange Format(IDMEF)」、RFC 4765、DOI 10.17487 / RFC4765、2007年3月、<http://www.rfc->。

[RFC5070] Danyliw, R., Meijer, J., and Y. Demchenko, "The Incident Object Description Exchange Format", RFC 5070, DOI 10.17487/RFC5070, December 2007, <>.

[RFC5070] Danyliw、R.、Meijer、J。、およびY. Demchenko、「The Incident Object Description Exchange Format」、RFC 5070、DOI 10.17487 / RFC5070、2007年12月、< / info / rfc5070>。

[RFC5901] Cain, P. and D. Jevans, "Extensions to the IODEF-Document Class for Reporting Phishing", RFC 5901, DOI 10.17487/RFC5901, July 2010, <>.

[RFC5901] Cain、P。およびD. Jevans、「フィッシングを報告するためのIODEF-Documentクラスの拡張」、RFC 5901、DOI 10.17487 / RFC5901、2010年7月、< / rfc5901>。

[RFC5941] M'Raihi, D., Boeyen, S., Grandcolas, M., and S. Bajaj, "Sharing Transaction Fraud Data", RFC 5941, DOI 10.17487/RFC5941, August 2010, <>.

[RFC5941] M'Raihi、D.、Boeyen、S.、Grandcolas、M。、およびS. Bajaj、「Sharing Transaction Fraud Data」、RFC 5941、DOI 10.17487 / RFC5941、2010年8月、<http:// www。>。

[RFC6545] Moriarty, K., "Real-time Inter-network Defense (RID)", RFC 6545, DOI 10.17487/RFC6545, April 2012, <>.

[RFC6545] Moriarty、K。、「Real-time Inter-network Defense(RID)」、RFC 6545、DOI 10.17487 / RFC6545、2012年4月、<>。

[RFC6546] Trammell, B., "Transport of Real-time Inter-network Defense (RID) Messages over HTTP/TLS", RFC 6546, DOI 10.17487/RFC6546, April 2012, <>.

[RFC6546] Trammell、B。、「HTTP / TLS経由のリアルタイムネットワーク間防御(RID)メッセージのトランスポート」、RFC 6546、DOI 10.17487 / RFC6546、2012年4月、<http://www.rfc-editor。 org / info / rfc6546>。

[RFC7203] Takahashi, T., Landfield, K., and Y. Kadobayashi, "An Incident Object Description Exchange Format (IODEF) Extension for Structured Cybersecurity Information", RFC 7203, DOI 10.17487/RFC7203, April 2014, <>.

[RFC7203]高橋敏夫、ランドフィールドK.、および門林裕二、「構造化サイバーセキュリティ情報のインシデントオブジェクト記述交換フォーマット(IODEF)拡張」、RFC 7203、DOI 10.17487 / RFC7203、2014年4月、<http:/ />。

[RFC7970] Danyliw, R., "The Incident Object Description Exchange Format Version 2", RFC 7970, DOI 10.17487/RFC7970, November 2016, <>.

[RFC7970] Danyliw、R。、「The Incident Object Description Exchange Format Version 2」、RFC 7970、DOI 10.17487 / RFC7970、2016年11月、<>。

[SNML] Trammell, B., Danyliw, R., Levy, S., and A. Kompanek, "AirCERT: The Definitive Guide", 2005, < aircert_manual-06_2005.pdf>.

[SNML] Trammell、B.、Danyliw、R.、Levy、S。、およびA. Kompanek、「AirCERT:The Definitive Guide」、2005年、< aircert_manual-06_2005。 pdf>。

[XEP-0060] Millard, P., Saint-Andre, P., and R. Meijer, "XEP-0060: Publish-Subscribe", December 2016, <>.

[XEP-0060] Millard、P.、Saint-Andre、P。、およびR. Meijer、「XEP-0060:Publish-Subscribe」、2016年12月、< 0060.html>。

[XEP-0268] Hefczy, A., Jensen, F., Remond, M., Saint-Andre, P., and M. Wild, "XEP-0268: Incident Handling", May 2012, <>.

[XEP-0268] Hefczy、A.、Jensen、F.、Remond、M.、Saint-Andre、P。、およびM. Wild、「XEP-0268:インシデントハンドリング」、2012年5月、<http:// xmpp .org / extensions / xep-0268.html>。

[XSD:CS] Microsoft, "XML Schema Definition Tool (Xsd.exe)", <>.

[XSD:CS] Microsoft、「XMLスキーマ定義ツール(Xsd.exe)」、<>。

[XSD:Cxx] CodeSynthesis, "XSD: XML Data Binding for C++", <>.

[XSD:Cxx] CodeSynthesis、「XSD:C ++のXMLデータバインディング」、<>。

[XSD:Java] Project Kenai, "Project JAXB", <>.

[XSD:Java] Project Kenai、「Project JAXB」、<>。

[XSD:Perl] Ulsoy, A., "XML-Pastor-1.0.4", <>.

[XSD:Perl] Ulsoy、A。、「XML-Pastor-1.0.4」、<>。

[XSD:Python] Bigot, P., "PyXB 1.2.5: Python XML Schema Bindings", <>.

[XSD:Python] Bigot、P。、「PyXB 1.2.5:Python XMLスキーマバインディング」、<>。

[XSD:Ruby] Morsi, M., "XSD / Ruby Translator", <>.

[XSD:Ruby] Morsi、M。、「XSD / Ruby Translator」、<>。



The MILE implementation report has been compiled through the submissions of implementers of INCH and MILE working group standards. A special note of thanks to the following contributors:


John Atherton, Surevine


Humphrey Browning, Deep-Secure


Dario Forte, DFLabs


Tomas Sander, HP


Ulrich Seldeslachts, ACDC

Ulrich Seldeslachts、ACDC

Takeshi Takahashi, National Institute of Information and Communications Technology Network Security Research Institute


Kathleen Moriarty, EMC


Bernd Grobauer, Siemens


Dandurand Luc, NATO

Dandurand Luc、生まれ

Pawel Pawlinski, NASK


Authors' Addresses


Chris Inacio Carnegie Mellon University 4500 5th Ave., SEI 4108 Pittsburgh, PA 15213 United States of America

クリスイナシオカーネギーメロン大学4500 5th Ave.、SEI 4108ピッツバーグ、PA 15213アメリカ合衆国


Daisuke Miyamoto The University of Tokyo 2-11-16 Yayoi, Bunkyo Tokyo 113-8658 Japan

だいすけ みやもと てぇ うにゔぇrしty おf ときょ 2ー11ー16 やよい、 ぶんきょ ときょ 113ー8658 じゃぱん