サイバー攻撃を受けた痕跡を情報として公開・共有することで、同じ攻撃に対処する

IoCとは「Indicator of Compromise」の略で、日本語にすると侵害指標や痕跡情報となる（「セキュリティ侵害インジケーター」と呼ばれることもある）。サイバー攻撃の痕跡をデータベース化して技術仕様として活用することで、攻撃を受けていることを素早く察知し、その影響範囲の最小化を目指すのがIoCの基本的な考え方。IoCで掲載される情報は、攻撃者が使用するマルウェアのファイル名、攻撃によって変更されるレジストリ、使用されるプロセスの名称、通信先のURIやIPアドレスなどが挙げられる。

IoCはその性質上、自社内だけでなく、他の企業や組織とデータを共有することで大きな効果を得ることができる。そのため、IoCは共通フォーマットに基づいて記述される必要がある。IoCのフォーマット規格は複数存在し、中でもMandiant社が作成し、オープンソースとして公開しているXMLベースの「OpenIOC」、非営利団体MITREが中心となって策定が進められているXMLベースの「STIX」がよく知られている。より軽量なJSONベースの「STIX 2.0」も策定されており、今後はこちらが主流となることが見込まれる。