Google Security Operations の紹介: AI を活用したインテリジェンス主導の SecOps

※この投稿は米国時間 2024 年 5 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。

生成 AI の時代において、セキュリティ チームは、防御側が新しい脅威を検出して軽減できるようにする一方で、生産性を高められる完全に運用可能な高性能セキュリティ運用ソリューションを求めています。

本日、サンフランシスコで開催される RSA Conference で、Google の脅威インテリジェンスを含む Google Cloud セキュリティ ポートフォリオ全体の AI イノベーションと、Google Security Operations の最新リリースを発表します。今回のアップデートは、SecOps の DIY の複雑さを軽減し、セキュリティ オペレーション センター全体の生産性を向上させるように設計されています。

インテリジェンスを行動に変える

Next '24 では、高度な脅威インテリジェンスを通じて、チームがインテリジェンスを行動に変え、より少ない労力で多くの脅威を発見し、より深いレベルでの脅威ハンティングと調査ワークフローを可能にするための方法について説明しました。本日公開するのは、AI を使用し、新しい脅威の発見に基づいて自動的に検出を生成する新機能です。この新機能は年内に提供予定で、環境内で実行されている悪意のあるアクティビティを特定し、優先順位付けと対応をガイドする明確な指示を共有できるようになります。

IDC のリサーチ ディレクターである Michelle Abraham 氏は、次のように述べています。「Google Security Operations により、プラットフォームに緊密に統合された独自の脅威インテリジェンスと高度な機能にアクセスできます。このため、セキュリティ チームは複雑なエンジニアリングを必要とせずに、すぐに最新の脅威を見つけられます。Google は、既存の脅威や新たな脅威と戦う組織にとってのパートナー候補です。」

厳選された検出機能で最新の脅威を発見する

お客様が手動プロセスを減らし、優れたセキュリティ成果を実現できるようにするために、Google Security Operations には厳選された検出機能が豊富に用意されています。Google と Mandiant の専門家によって定期的に開発、保守されている厳選された検出機能により、お客様は自社の環境に関連する脅威を検出できます。注目すべき、厳選された新しい検出機能には次のようなものがあります。

• クラウド検出: この機能は、サーバーレス脅威、Google Cloud 全体のクリプトマイニング インシデント、Google Cloud および Security Command Center Enterprise のすべての検出結果、異常なユーザー行動ルール、ML で生成され優先順位が付けられたエンドポイント アラートのリスト（ユーザーやエンティティのコンテキストなどの要因に基づく）、AWS のベースライン カバレッジ（ID、コンピューティング、データサービス、シークレット管理を含む）に対応できます。また、Mandiant Managed Defense チームの所見に基づいた検出機能も追加されました。Google Security Operations Enterprise パッケージと Enterprise Plus パッケージでご利用いただけます。

• 最前線の脅威検出: この機能は、最近検出された手法に対応し、国家や新たに検出されたマルウェア ファミリーによるものなど、脅威アクターの戦術、技術、手順（TTP）に基づいています。インシデント対応業務中などに Mandiant のエリートチームによって発見された新しい脅威は、検出機能として利用できるようになります。Google Security Operations Enterprise Plus パッケージでご利用いただけます。

AI を活用した SecOps ですべての生産性を向上させる

Gemini in Security Operations を追加すると、セキュリティ チームのスキルが向上します。この機能により、セキュリティ アナリストが検索の作成、実行、絞り込み、複雑なケースの優先順位付けに費やす時間を 7 分の 1 に短縮できます。セキュリティ チームは、追加のコンテキストを検索し、脅威アクターの作戦と戦術について理解を深め、レスポンスのシーケンスを開始し、次のステップに関するガイド付きの推奨事項を受け取ることができます。いずれも自然言語を使用して行われます。今回は、Gemini in Security Operations のエキサイティングなアップデートを 2 つご紹介します。

現在一般提供されている Investigation Assistant 機能は、質問への回答、イベントの要約、脅威のハンティング、ルールの作成、調査のコンテキストに基づき推奨される対応の受信を通じて、セキュリティの専門家が意思決定までの時間を短縮し、より正確かつ迅速に脅威に対処できるように支援します。

Playbook Assistant（現在はプレビュー版）を使用すると、チームは簡単に対応ハンドブックを作成し、構成をカスタマイズして、ベスト プラクティスを組み込むことができるため、深い専門知識を必要とする時間のかかる作業を簡素化できます。

自律的なパーサーで手作業を削減する  

システムにデータを取り込んでパイプラインを維持することは、セキュリティ運用において重要ですが時間のかかる作業です。ログソースが変更され、新しいフィールドを抽出する必要が生じると、セキュリティ エンジニアとアーキテクトは、新しい解析ロジックの作成と下位互換性の確保にかなりの時間を費やさなくてはならないことが少なくありません。

本日は、Google Security Operations により、すべての Key-Value ペアを抽出して検索、ルール、分析に使用できるようにすることで、ログファイルを自動的に解析可能になったことをお知らせします。プレビュー版で提供されている自動解析により、パーサー全般のメンテナンス オーバーヘッドを削減でき、カスタム パーサーを作成する時間のかかる作業も削減できます。JSON ベースのログをサポートしており、他のログ形式のサポートも追加される予定です。ログファイルを自動的に解析することで、セキュリティ チームは適切なデータとコンテキストを入手でき、調査と検出オーサリングがより迅速かつ効果的になります。

防御の水準を引き上げる

Google Security Operations の管理について専門家のサポートが必要な場合は、Google がお手伝いいたします。Google Security Operations は Mandiant Managed Defense および Mandiant Hunt と連携することもでき、組織のリスクを軽減するのに役立ちます。Mandiant の経験豊富な防御者、アナリスト、脅威ハンターのチームが、お客様のセキュリティ チームや、AI を活用した Google Security Operations の機能とシームレスに連携し、インシデントのハンティング、モニタリング、検出、優先順位付け、調査、対応を迅速かつ効果的に行います。

また、より特殊な要件を持つ公共部門のお客様には、世界各国の政府が強化されたサイバー脅威対策能力を構築できるよう、Google SecOps CyberShield が用意されています。

Google Security Operations をはじめ、拡張された Chrome Enterprise エコシステムなどの Google Cloud セキュリティの包括的なポートフォリオに含まれるその他のソリューションについて詳しくは、RSA Conference のブース（N5644）にお立ち寄りください。基調講演、プレゼンテーション、イベントにもぜひご参加ください。5 月 7 日（火曜日）の午後 1 時 15 分（PDT）には、セッション「Bye-Bye DIY: Frictionless Security Operations with Google」（脱 DIY: Google によるスムーズなセキュリティ運用）が開催されます。

RSA Conference に参加できない場合は、5 月 22 日（水曜日）の午前 11 時（PDT）に開催されるウェブセミナー「Stay ahead of the latest threats with intelligence-driven security operations」（インテリジェンス主導のセキュリティ運用で最新の脅威に対して先手を打つ）にぜひご参加ください。

-プロダクト マネジメント担当ディレクター Chris Corde