分析情報からアクションへ: M-Trends とエージェント AI、そして防御者を支援する Google の取り組み（RSAC 2025）

※この投稿は米国時間 2025 年 4 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。

サイバーセキュリティは今特別な局面を迎えています。AI で強化された脅威インテリジェンス、プロダクト、サービスにより、防御者はこれまで捕捉できなかった脅威に対して優位に立てるようになりました。

AI 時代のセキュリティ チームとビジネス リーダーをサポートするため、また進化する脅威へのプロアクティブな対処に役立てていただくために、Google は今回の RSA Conference で、Mandiant の最新の M-Trends レポートから知見を共有し、Google Unified Security、プロダクト ポートフォリオ、AI 機能の強化について発表します。

M-Trends 2025

M-Trends 第 16 版を公開しました。このレポートでは、Mandiant の脅威インテリジェンスによる発見と、2024 年に実施した 45 万時間を超えるインシデント調査から得られたデータ、分析結果、学びを共有しています。今年のレポートには現在のサイバー脅威と攻撃者の手法に関する実用的な分析情報が含まれており、進化する脅威ランドスケープを把握し、実際のデータに基づいて防御を強化できるよう組織をサポートする Google の取り組みが反映されています。

攻撃者は情報窃取型マルウェアの使用、セキュリティが不十分なデータ リポジトリの攻撃、クラウド移行のリスクの悪用など、目的を達成するためにあらゆる機会を容赦なく狙っています。攻撃者が組織を侵害する方法として最も一般的なものは、依然として脆弱性利用型不正プログラムですが、盗まれた認証情報の使用がこれまで以上に増えています。そして金融セクターが、引き続き脅威アクターの一番の標的となっています。

M-Trends 2025 では、北朝鮮の IT ワーカーによるインサイダー リスク、ブロックチェーンを利用した暗号通貨の脅威、イランの脅威アクターによるアクティビティの活発化など、今の課題に直結した脅威データ分析を盛り込み、敵対的な活動について深く切り込んでいます。Google が最前線で得た独自の知見に基づき、脅威アクターがどのように活動し、どのように目標を達成しているか、組織がこのような脅威の防止、検出、対処のために何をすべきかについて説明しています。

Google Unified Security

2024 年を通して Google Cloud Security のお客様は、今回 M-Trends 2025 レポートで一般公開された脅威インテリジェンスと分析情報によるメリットを直接受けてきました。エキスパートが作成した脅威インテリジェンス、セキュリティ運用とクラウド セキュリティ ソリューションでの検出機能の強化、Mandiant のセキュリティ評価などを通じて、Google が現在入手している知見をプロアクティブに活用し、最前線で脅威が発見されると、速やかにお客様が最新の分析情報と検出内容を受け取れるようにしています。

Google Unified Security のリリースにより、今後お客様は脅威と自社環境の攻撃対象領域をさらに明確に把握できるようになります。また、統合ソリューションのキュレーテッド検出とハンドブックを通じて、Mandiant の最前線のインテリジェンスを直接活用することも可能になります。

Google のトップクラスの脅威インテリジェンス、セキュリティ運用、クラウド セキュリティ、セキュアな企業向けブラウジング、Mandiant の専門知識を統合することで、Google Unified Security では、攻撃対象領域全体で単一のスケーラブルなセキュリティ データ ファブリックが構築されます。Gemini AI の導入により、リアルタイムの分析情報に基づく脅威検出の強化、セキュリティ運用の効率化が図られているほか、新しいマルウェア分析とトリアージ AI エージェントにも Gemini AI が活用されています。これは、事後対応型のセキュリティからプリエンプティブなセキュリティへの移行を後押しするものになります。

現在の脅威の状況において必要とされる、最も重要なことの一つは、戦略的なセキュリティ パートナーを選ぶことです。Google Unified Security は、Google をお客様のセキュリティ チームの一員に加える最も簡単かつ迅速な方法としておすすめです。本日は、プロダクト ポートフォリオにおける機能強化についてお知らせします。

Google Security Operations の最新情報

Google Security Operations のお客様は、M-Trends 2025 の所見に基づきリリースされたキュレーテッド検出と高度な脅威インテリジェンスのルールパックを利用できるようになり、情報窃取型マルウェア、クラウドの侵害、データ窃盗などの不正なアクティビティの検出に役立てることができます。

たとえば、クラウド侵害の所見に基づくセキュリティ侵害インジケーター（IOC）と戦術、手法、手順（TTP）が、クラウドの脅威のキュレーテッド検出ルールパックに追加されています。

また、ワークフローの簡素化、トイルの大幅な削減、アナリストのサポートを目的とした、AI とプロダクトのアップデートも行いました。

セキュリティ運用に革新をもたらす AI の力は、Gemini in Google Security Operations のメリットがお客様にはっきりと表れていることからも明らかです。Google の将来に向けたビジョンにあるのは、さらに野心的なエージェント セキュリティ オペレーション センター（SOC）です。連携するマルチエージェント システムにより、セキュリティ運用を根本から強化できます。

このビジョンを実現するために、Google はユースケースを中心に据えたインテリジェントなエージェントを開発しています。このエージェントは日常業務の自動化と意思決定の改善において、人間のアナリストと協力して機能するよう設計されています。最終的に、エージェント SOC は複雑な脅威に特化した対応を可能にし、自動化されたセキュリティ運用ワークフローの実現と、効率性の飛躍的な向上に寄与します。

AI を活用したセキュリティ機能の導入と改良をさらに進めるため、Google は SecOps Labs を立ち上げています。これはお客様が最新の AI パイロット版に早期アクセスし、フィードバックを共有できる新たな場所です。初期の機能として、自然言語パーサー拡張機能、ルールの作成とテストを自動化する検出エンジニアリング エージェント、自動化ハンドブックを生成するレスポンス エージェントなどを用意しています。SecOps Labs はコラボレーションを促進し、AI を活用したセキュリティ運用の未来を形作る場となります。

プレビュー版の複合検出は、一見独立しているイベント間のつながりを見つけ、防御者が攻撃の全体像を把握できるようにします。SOC はこの機能を使用して、高度なマルチステージでの検出と攻撃者によるアクティビティの相関関係の作成、検出エンジニアリングの簡素化、偽陽性と偽陰性の抑制ができます。

複合検出を使えば、再利用可能な検出ロジックを構築して隠れたつながりを見つけたり、単純な検出を回避する高度な攻撃者を阻止したりできます。また、ほとんどの検出エンジニアリングにはつきものとなっている、精度と再現性のトレードオフを解消することもできます。

コンテンツハブ（現在はプレビュー版）は、セキュリティ運用を効率化し、プラットフォームの可能性を最大限に引き出すために必要なリソースが見つかる場所です。セキュリティ運用チームは、主要なプロダクト インテグレーションとユースケースのコンテンツ パックにアクセスでき、より効率的にデータの取り込みの構成とデータ オンボーディングができるようになります。

認定済みのインテグレーション、事前構築済みのダッシュボード、インストールするだけの検索クエリのライブラリもあります。さらに、キュレーテッド検出機能を備えたセキュリティ ポスチャーと、その機能の基盤となるロジックについて、詳細を把握できます。今後はセキュリティ運用コンテンツすべてを 1 か所から確認して、オンボーディングと管理ができるようになります。

また、Gemini in Google Security Operations を使って、プラットフォームのどこからでもプロダクトに関する質問の回答をすぐに得られる新たな方法も導入しています（プレビュー版）。Gemini でドキュメントを検索できるようになり、セキュリティ運用に関する質問に対して、Gemini から参照リンクが付いた質の高い回答を速やかに入手できます。

Security Command Center の最新情報

3 月に発表した AI 保護の構築を急ピッチで進め、トレーニングと推論に使用する画像に含まれる機密データを検出する、新たなマルチモーダル機能を追加しています。

セキュリティ チームが AI 環境をより細かく把握して、より幅広い機密データを検出し、必要に応じて画像の秘匿化ルールを構成できるように、6 月から AI 保護でオブジェクトベースの検出（バーコードなど）ができるようになります。

画像内の機密データの検出に加え、AI ワークロードに対する特定のクラウドベースの脅威を特定する、新たな AI 脅威検出機能も AI 保護に追加しています。MITRE ATLAS の手法に沿って、AI 保護は Vertex ワークロードと関連リソースの不審な初期アクセス、永続性、アクセスの変更などの脅威を検出します。これにより、組織は状況を把握してコンテキストを理解し、AI 環境に対する脅威の迅速な調査と対処ができるようになります。

AI 保護は現在プレビュー版（登録はこちら）で提供されています。AI ライフサイクル全体のセキュリティを確保するように設計されており、AI アセットの検出、主要なリスクの優先順位付け、ガードレールと安全性管理による AI の保護、そして AI 脅威の検出、調査、対処を可能にします。

Google は、セキュリティと AI の関わりについての最新の調査結果をまとめた Secure AI Framework (SAIF) in the Real World（実社会でのセキュア AI フレームワーク（SAIF）も発表します。こちらでは AI プロジェクトのデータ、インフラストラクチャ、アプリケーション、モデルの各分野に SAIF の原則を適用する際の主な考慮事項について説明しています。

Mandiant サイバーセキュリティ コンサルティングの最新情報

Google Unified Security は Mandiant リテーナーを通じて Mandiant の専門知識を統合します。Mandiant リテーナーでは、迅速なインシデント対応ができるエキスパートに随時アクセスし、柔軟なプリペイド資金でコンサルティング サービスを受けることができます。また、Mandiant Threat Defense を通じて、AI を活用した脅威の検出、ハンティング、対応を可能にし、エキスパートとのコラボレーションと SOAR ハンドブックにより、お客様のセキュリティ チームを拡張します。

Mandiant の新しいエッセンシャル インテリジェンス アクセス（EIA）サブスクリプションもご利用いただけるようになっています。これにより、世界クラスの脅威インテリジェンス エキスパートに直接かつ柔軟にアクセスできます。エキスパートはセキュリティ チームの拡張チームとして、カスタマイズされた調査と分析を行い、重要な意思決定のための情報提供、防御の強化、サイバーセキュリティ戦略の強化に役立つ、カスタムの分析情報を提供します。

また、EIA はお客様がサイバー脅威インテリジェンス（CTI）への投資の価値と効率性を最大化できるようにサポートします。EIA は脅威そのものを共有するだけに留まらず、特定の環境のコンテキストに基づいてデータを分析し、固有の脅威を明らかにします。重要なポイントとして、EIA には脅威インテリジェンスの運用化、チームのスキルアップ、脅威の優先順位付け、セキュリティ ポスチャーの改善と組織のリスク軽減のための継続的なサポートの提供において豊富な経験を持つ、人間のエキスパートによるパーソナライズされたガイダンスが含まれています。

Google Cloud でセキュリティ戦略を進化

M-Trends 2025 レポートは、行動を喚起するものであり、ますます高度化する攻撃に合わせて、防御方法を適応させていくことの緊急性を強調しています。

RSA Conference では、Google Cloud Security の最新の進化により、どのように脅威インテリジェンスを AI によるプロアクティブなセキュリティへと変換できるかについてご紹介します。モスコーニ センターの北ホールのブース番号 N-6062 で皆様をお待ちしています。マリオット マーキスのカスタマー ラウンジでは、セキュリティ エキスパートとの交流もできます。

また、こちらから RSA Conference のストリーミング、オンデマンドでの視聴もできます。Google Cloud セキュリティ コミュニティにご参加いただくと、知識の共有、リソースへのアクセス、地域イベントの確認ができ、セキュリティ エクスペリエンスをさらに高められます。

セキュリティに対してより自信を持てるよう、ぜひ Google をセキュリティ チームの一員に加えてください。

-Google Cloud Platform、バイス プレジデント兼ゼネラル マネージャー、Brad Calder
-Mandiant コンサルティング、バイス プレジデント、Jurgen Kutscher