MandiantとVirusTotalも統合、新生「Google Cloud Security」は“セキュリティの内製化”支援目指す
Google Cloud Japanは、新たに打ち出したセキュリティブランド「Google Cloud Security」に関する説明会を開催した。 【もっと写真を見る】
Google Cloud Japanは、2024年8月21日、「Google Cloud Security」に関する説明会を開催した。 Google Cloudがここ数年、投資を強化しているのがセキュリティ分野だ。2019年にAlphabet子会社のChronicleを統合し、2022年にはMandiantを買収。そして2024年に入り、「Google Cloud Security」という新たな枠組み(ブランド)のもとで、脅威インテリジェンスと生成AI機能を中核としたセキュリティを展開する。 同社が目指すのは、脅威インテリジェンスでリソースの優先度付けを、生成AIで自動化を図り、Googleがチームの一員となって「セキュリティの内製化」を推進することだ。 Google Cloud Securityのソリューションマーケティング担当部長である橋村抄恵子氏は、「我々が実現したいのはユーザーのビジネスを守り、それによりユーザーのDXを支えること。そのために、製品や技術だけではなく、専門家による知見を組み合わせ、ユーザーの成熟度に合わせたセキュリティ強化を支援する。そういった意味でも、Googleがセキュリティチームの一員になる」と説明する。 脅威インテリジェンスを統合して、セキュリティ特化の生成AIを組み込む Google Cloud Securityは、3つの柱となるソリューションで展開される。 ひとつ目は脅威インテリジェンスだ。元々Google Cloudは、世界中のマルウェアサンプルを収集・分析する「VirusTotal」を提供していた。2022年には、Mandiantを買収して脅威インテリジェンスの連携を開始。そして2024年5月、MandiantとVirusTotalのデータや知見を組み合わせ、そこにGoogleの数十億のデバイスやメールからの情報も加えた「Google Threat Intelligence」を提供開始した。 Mandiantの脅威インテリジェンスの特徴は、攻撃者の特定や攻手法、その結果のリスクといった“誰が攻撃しているか”を把握できること。一方のVirusTotalは、コミュニティの力によって数多くのマルウェアを集成する“脅威の足跡”を把握できるのが強みである。補完的なシナジーを持つこの2つを統合する。 2つ目の柱は、セキュリティオペレーションプラットフォームだ。SIEMやSOAR、UEBAの機能を備え、さらに脅威インテリジェンスとも連携する。2024年5月にChronicle Security Operationsからリブランディングして「Google Security Operations」と名称を変更している。 最後の柱は、クラウド基盤におけるセキュリティだ。元々はGoogle Cloudのセキュリティ機能であったが、2024年3月より「Security Command Center Enterprise」としてマルチクラウドへと対象を拡大している。 そして、これらの3つの柱となるソリューションのすべてに、セキュリティに特化した「Gemini」ブランドの生成AI機能が搭載され、機能を拡充している最中だという。Geminiが脅威インテリジェンスを要約し、概要やアラート、対応策を示してくれたり、対話型チャットボットで対応の労力を軽減したり、検知ルールやプレイブックを自動生成してくれたりする。 脅威は増え続けるが、人材が不足している“現場の課題”に応えるもので、これらの生成AI機能を活用することで、調査を効率化して、運用のハードルを下げ、自動化を推進できる。 まだまだ難しい組織内部の検知・対応、脅威の滞留時間短縮が鍵に 説明会では、Google Cloudが脅威インテリジェンスを推し進める背景として、最新の脅威トレンドも紹介された。同社が年次で公開している「M-Trends 2024レポート」では、2023年におけるMandiantのインシデント対応調査やセキュリティサービス、脅威インテリジェンスのデータを分析している。 同レポートによると、サイバー攻撃の最初の入口となる“イニシャルアクセス”は、脆弱性攻撃が38%と最も多かった。さらに、脆弱性攻撃でトレンドになっているのが“ゼロデイ攻撃”であり、2023年に確認されたゼロデイ攻撃の形態は97個に上るという。 Mandiantのコンサルティングリーダーを務めるアレックス・シム氏は、ゼロデイ攻撃が用いられる理由を「ターゲットに気づかれずに侵入して、検知されずに長期間活動するため(APT攻撃)」だと説明する。さらに、APT攻撃だけではなく金銭目的の攻撃においても、内部データを素早く手に入れ、より広範囲に攻撃するためにゼロデイ攻撃を選ぶ傾向が高まっているという。 またレポートでは、脅威の侵入後に被害環境に滞留する時間(中央値)が年々減少していることも指摘されている。2011年は「416日」だったが、6年後の2017年には「101日」に、そして2023年には「10日」と、滞留時間は急激に短くなっている。 この要因のひとつが、ランサムウェアの台頭だ。かつて主流だったAPT攻撃は検知されないまま活動を続けるが、2017年以降増え続けるランサムウェア攻撃は、金銭を要求するためにすぐ攻撃を仕掛ける。 こうした攻撃は組織内部で迅速に検知できるのが理想だが、まだまだ組織外部(政府機関や警察、ベンダーなど)による検知のほうが多い。同レポートによると、2023年でも外部検知が54%を占めており、アジア太平洋地域に絞ると69%が外部検知だった。 シム氏は、「外部検知だとパニックになって対応が難しくなる。Mandiantが継続して必要性を訴えているのが、『組織内部で』迅速な検知・対応を行うこと」だと説明。加えて、「初期侵入はゼロデイを用いられると検知できないため、大事なのは被害が大きくならないよう脅威の滞留時間を短くすること。そのためには、脅威インテリジェンスやスレットハンティング、レッドチームなどで内部を検知していく必要がある」と強調した。 文● 福澤陽介/TECH.ASCII.jp