Cloud CISO の視点: AI とサイバーセキュリティに関するデータドリブンな分析情報

※この投稿は米国時間 2025 年 5 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

2025 年 4 月、2 回目の投稿となる「Cloud CISO の視点」へようこそ。今回は、Google Threat Intelligence 担当バイス プレジデントである Sandra Joyce が、RSA Conference の基調講演を基に、攻撃と防御の両面における AI の実用的な活用方法についてお話しします。

これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。

AI とサイバーセキュリティに関するデータドリブンな分析情報

Google Threat Intelligence 担当バイス プレジデント、Sandra Joyce

サイバーセキュリティにおける AI の素晴らしい可能性が、ここ数年話題になっています。未来に期待を寄せるだけでなく、現在に目を向けることも必要です。AI はすでに業界に影響を与えているからです。成果に目を向ける時期にもう入っているのです。

現在の実世界への影響

AI 活用の努力をどこに集中させるべきかをノイズに惑わされずに見極めるためには、より優れたデータが必要になります。特に、脅威をめぐる状況を把握するための AI と、防御のための AI という 2 つのカテゴリで必要です。

AI に関連する潜在的な敵対的ユースケースは非常に多く、そのリスクを適切に管理するためには、顕著に見られる AI 駆動型の攻撃ベクトルへの対処を優先する必要があります。

同時に、CISO は防御のために AI を活用する必要があります。AI の真の価値提案とは何でしょうか。セキュリティに関連する成果の向上と費用削減を今後 6～12 か月で実現するために、AI をどのように有効活用できるのでしょうか。

こうした疑問に答えるため、本日は、データドリブンな分析をご紹介します。この分析は、推測に頼って対策を取ってしまうことを防ぎ、目に見える効果をすでに上げているAI の実戦的な活用方法を優先するのに役立つはずです。

攻撃者は AI をどのように使用しているか

Google とそのユーザーへの脅威に対処する取り組みの一環として、Google Threat Intelligence グループのアナリストは、既知の脅威アクターを追跡しています。そして Google は、これらの脅威アクターが現在どのように生成 AI、特に Gemini を使用しようとしているかを調査しています。これまでに、Google の一般公開 Gemini AI サービスにアクセスした、20 か国以上の高度標的型攻撃グループが特定されています。

脅威アクターは、潜在的なインフラストラクチャと無料のホスティング プロバイダの調査、標的組織の偵察、脆弱性の調査、ペイロードの開発、悪意のあるスクリプトの作成と回避手法の支援など、攻撃ライフサイクルのいくつかのフェーズをサポートするため Gemini を使用してきました。

重要なのは、これらは既存の攻撃フェーズをより効率的にしたものであり、根本的に新しい AI 駆動型の攻撃ではないということです。脅威アクターが AI を実験的に使用して生産性の向上を達成したものの、新しい機能を開発するには至っていないことが確認されています。

現在の議論の多くは、過度に警戒を促しているように感じられます。Google の分析によると、AI は一般的なタスクには有用なツールですが、敵対者がこれらのモデルを使用して根本的に新しい攻撃ベクトルを開発している兆候は見られませんでした。

攻撃者は、多くの人が AI を使用するのと同じ方法で Gemini を活用しています。つまり、ブレインストーミングや作業の改善を支援する生産性向上ツールとして活用しているのです。AI を使用してまったく新しい攻撃方法を発明するのではなく、従来の戦術を強化しています。独自の AI 活用型攻撃やプロンプト攻撃は観測されませんでした。

幸いなことに、Gemini の安全対策により、攻撃者の運用能力は制限されたままです。Gemini は、コンテンツの作成、要約、簡単なコーディングなどの一般的で中立的なタスクに対する支援を提供している一方で、手の込んだリクエストや明確に悪意のあるリクエストを要求された場合は、安全な回答を生成しています。脅威アクターが Gemini を使用して、Gmail などの Google プロダクトの不正使用、データの窃取、アカウント確認の回避に関する手法を調査しようと試み、失敗したケースも確認されています。

防御者は AI をどのように使用しているか

幸い、攻撃者が生産性向上のために使用している AI 機能は、防御者が使用すると別の効果をもたらします。防御者の復元力をさらに高める力があるのです。CISO が AI の可能性を活用するために今すぐ取り組むべきユースケースがあります。

サイバー脅威の増加に伴い、防御者のワークロードが増加し、自動化の改善と革新的なアプローチの必要性が高まっています。AI により、マルウェアの分析、脆弱性の調査、アナリストのワークフローがサポートされ、効率の向上が実現しました。

• マルウェア分析ツールが本当の意味で役に立つかどうかは、従来の方法では検出できない未知の攻撃手法を特定できるかどうかで決まります。Gemini は、コードの動作を深く理解することにより、新しい脅威だけでなくこれまでになかった脅威も検出でき、このような高度な分析を幅広く利用できるようにします。
• 大規模言語モデル（LLM）を使用して新しいファジング ハーネスを作成した現在の結果は、大きな可能性を示しています。OSS-Fuzz では、272 の C および C++ プロジェクトでカバレッジを最大 7,000% 拡大させました。
• Google Project Zero と Google DeepMind は、Big Sleep というプロジェクトに共同で取り組みました。このプロジェクトでは、LLM を使用して最初の実世界の脆弱性をすでに発見しています。
• Google では、LLM を使用してセキュリティとプライバシーのインシデント ワークフローを高速化しています。Gemini を活用することで、インシデントの要約の作成時間が 51% 短縮され、人間のレビュアーによるブラインド評価でも、要約の品質が確実に向上しました。
• また、AI を使用して、Google 独自のアナリスト ワークフローのトイルを軽減しています。GTIG が使用する社内 AI ツールは、調査で収集された何千ものイベントログをレビューし、それをものの数分で要約して、インテリジェンス チーム全体で簡単に理解できるバイトサイズの概要を作成します。このプロセスには、以前は数時間も掛かっていました。
• また、別の社内 AI ツールにより、AI なしでは実現できない方法で、お客様が直面するハクティビストの脅威に関する重要な情報を提供し、トイルを軽減しています。Google のアナリストは、ハクティビスト グループの主要なソーシャル チャンネル（Telegram など）を AI ツールにオンボーディングします。そして、そのチャンネルから十分なデータを収集すると、グループの行動（TTP、好む標的、グループが犯行声明を出した攻撃など）に関する包括的なレポートがツールにより作成されます。その後、GTIG アナリストがそのレポートをレビュー、検証、編集します。

本日は、AI によりサイバーセキュリティ分野に起こっている激しい変化について、ほんの一部を取り上げたに過ぎません。RSA Conference の会場でこの記事を読んでいる方は、Google Cloud Security Hub にぜひお越しください。統合型エージェント AI からすでに得られている具体的な価値と、Google をセキュリティ チームの一員として活用してメリットを得る方法について、Google のエキスパートがご案内いたします。

RSA Conference の発表内容はすべてこちらで確認できます。また、CISO Insights Hub をいつでもご覧ください。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• 分析情報をアクションへ: M-Trends、エージェント AI、防御者を支援する Google の取り組み（RSAC 2025）: 最新の M-Trends レポートから、Google Unified Security、Google のプロダクト ポートフォリオ、AI 機能にわたるアップデートまで、RSAC で発表された Google の最新情報をご紹介します。詳細はこちら。
• セキュリティ運用におけるエージェント AI の導入（RSAC 2025）: エージェント AI は、セキュリティ チームにとって根本的な構造の変化をもたらします。インテリジェント エージェントが人間のアナリストと連携して働くようになるのです。エージェントの未来に関する Google のビジョンをご紹介します。詳細はこちら。
• MCP を使用した AI 駆動型セキュリティのためのオープンなエコシステムの構築: Google Security Operations、Google Threat Intelligence、Security Command Center 向けのオープンソースの Model Context Protocol（MCP）サーバーを使用して、セキュリティ ツールに AI を導入します。セキュリティ ツールを LLM に接続する方法をご確認ください。詳細はこちら。
• セキュリティに関するサポート役として AI を活用する 3 つの新しい方法: 生成 AI はすでに、セキュリティにおいて明確で影響力のある成果を生み出しています。組織が今すぐ採用できる、決定的な例を 3 つご紹介します。詳細はこちら。
• Cyber Savvy Boardroom ポッドキャストのご紹介: 毎月配信される新しいポッドキャストで、直感、専門知識、ガイダンスで知られるセキュリティ リーダーとビジネス リーダーが、Google の CISO オフィスのエキスパートとともに、最も重要なトピックについて議論します。詳細はこちら。
• RSA Conference 2025: Google Cloud Security ブースのご紹介: RSA Conference では、Google Cloud Security のブースにぜひお立ち寄りください。エキスパートと交流したり、革新的なクラウド テクノロジーを実際に体験したりすることができます。詳細はこちら。

今月公開されたその他のセキュリティ関連の記事については、Google Cloud 公式ブログをご覧ください。

脅威インテリジェンスに関するニュース

• ゼロデイ攻撃は徐々に増加し続ける: Google Threat Intelligence グループ（GTIG）は、2024 年に実際に悪用された 75 件のゼロデイ脆弱性について、包括的な概要と分析を公開しました。ゼロデイ攻撃はゆっくりと着実に増加し続けていますが、ゼロデイ攻撃を軽減するためのベンダーの取り組みが実を結び始めていることも確認されています。詳細はこちら。
• M-Trends 2025: 最前線からのデータ、分析情報、推奨事項: 第 16 号となる年次脅威インテリジェンス レポートでは、2024 年に実施した 45 万時間を超えるインシデント調査から得られたデータ、分析、学びを紹介しています。今年のレポートには、現在のサイバー脅威と攻撃者の手法に関する実用的な分析情報が含まれており、進化する脅威の状況を把握し、実際のデータに基づいて防御を強化できるよう組織をサポートする Google の長年の取り組みが反映されています。詳細はこちら。

今月公開されたその他の脅威インテリジェンス関連の記事については、Google Cloud 公式ブログをご覧ください。

注目の Google Cloud ポッドキャスト

• 取締役会はどの程度サイバーセキュリティに精通しているか: Google は長い間、サイバーセキュリティに関する基本的な課題と最先端の課題の両方について、取締役会が最新情報を把握することが重要であると主張してきました。そこで Google は、CISO オフィスの David Homovich、Alicja Cade、Nick Godfrey が担当する月に一度のポッドキャスト「Cyber Savvy Boardroom」を新たに配信開始しました。最初の 3 つのエピソードでは、Karenann Terrell、Christian Karam、Don Callahan といった、直感、専門知識、ガイダンスで知られるセキュリティとビジネスのリーダーが登場します。ポッドキャストを聴く。
• クラウド セキュリティの報奨制度の進化: Google Cloud の Michael Cote と Aadarsh Karumathil が、ホストの Anton Chuvakin と Tim Peacock とともに、クラウド規模での脆弱性対応から優れた脆弱性レポートの条件まで、進化を続ける脆弱性レポートの報奨制度の世界について議論します。ポッドキャストを聴く。
• The Defender’s Advantage: Windows RDP の悪用: ホストの Luke McNamara と GTIG のシニア セキュリティ リサーチャー Rohit Nambiar が、UNC5837 による Windows Remote Desktop Protocol の興味深い使用方法について語ります。ポッドキャストを聴く。
• バイナリの裏側: コミュニティによるマルウェア対策の内情: コミュニティ主導型の脅威インテリジェンスの未来と abuse.ch について、創設者の Roman Huessy 氏にお話を伺いました。abuse.ch は、世界中のサイバーセキュリティ コミュニティが脅威アクターと戦うために構築した活発な非営利プロジェクトです。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、ニュースレターにご登録ください。次回も Google Cloud からセキュリティ関連の最新情報をお届けします。

-Google Threat Intelligence 担当 VP、Sandra Joyce