Google Threat Intelligence の紹介: Google 規模で運用する実用的な脅威インテリジェンス

※この投稿は米国時間 2024 年 5 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。

数十年にわたり、脅威インテリジェンス ソリューションには 2 つの主な課題が存在しています。脅威の状況に関する包括的な可視性がないことと、インテリジェンスから価値を創出するためには、データの収集と運用化に多くの時間、エネルギー、費用がかかることです。   

このたび、Google は、サンフランシスコで行われる RSA Conference で、Google Threat Intelligence を発表いたしました。これは、Mandiant の比類なく深遠な最前線の専門知識と経験、世界中を網羅する VirusTotal コミュニティ、およびさまざまなデバイスやメールからの数十億ものシグナルを基にした Google だけが提供できる広範な脅威への可視性を組み合わせた新しいサービスです。Google Threat Intelligence には、Gemini in Threat Intelligence が含まれています。これは、Google の大規模な脅威インテリジェンス リポジトリを対象とした会話型検索を提供する AI 搭載エージェントで、これを使用すると、これまでになく迅速にインサイトを取得して、脅威から組織を保護できるようになります。

「利用可能な脅威インテリジェンスには事欠かない一方で、ほとんどの組織にとって、組織との関連性が高いインテリジェンスのコンテキスト化と運用化が課題となっています」と、Enterprise Strategy Group のプリンシパル アナリスト Dave Gruber 氏は述べています。「まぎれもなく、Google は VirusTotal と Mandiant により、脅威インテリジェンスにおいて昨今の業界で特に重要な柱の 2 つを提供しています。VirusTotal と Mandiant が 1 つのサービスに統合され、それに AI と Google の脅威インサイトが組み込まれたことで、セキュリティ チームは新たな方法で実用的な脅威インテリジェンスを運用化して組織の保護を強化できるようになります。」

脅威に対する比類なき可視性

Google Threat Intelligence は、グローバルな脅威の状況に対する比類なき可視性を実現します。Google は、Mandiant の最先端のインシデント対応および脅威調査チームからの詳細なインサイトとを提供し、それらのインサイトを Google の膨大なユーザーとデバイスのフットプリントおよび VirusTotal の広範なクラウドソース マルウェア データベースと統合して提供します。

• Google の脅威インサイト: Google は 40 億のデバイスと 15 億のメール アカウントを保護し、毎日 1 億件ものフィッシング攻撃をブロックしています。これが膨大なセンサーとして機能して、インターネットやメールを介した脅威に対する独自の視点が確立されることにより、攻撃キャンペーンへの関連付けが可能

• 最前線のインテリジェンス: Mandiant の優れたインシデント対応コンサルタント、セキュリティ コンサルタント、インテリジェンス アナリストが、年間 1,100 件を超える調査で世界中の巧妙で執拗な脅威アクターへの防御のサポートをお客様に提供してきた経験をベースに、15年以上に渡って蓄積してきた攻撃者の戦術と手法を提供

• 専門家によってキュレートされた脅威インテリジェンス: Mandiant のグローバルな脅威専門家が、脅威アクター グループの活動と挙動の変化を注意深くモニタリングして、継続中の調査をコンテキスト化し、対処に必要なインサイトを提供

• クラウドソース脅威インテリジェンス: 100 万人以上のユーザーで構成されるVirusTotal の グローバル コミュニティが、ファイルや URL を含め、脅威の可能性を示すインジケータを継続的に投稿して、新たな攻撃に対するリアルタイムのインサイトを提供

• オープンソースの脅威インテリジェンス: Google は、オープンソースの脅威インテリジェンスを使用して、セキュリティ コミュニティからの最新の情報でナレッジベースを拡充

このような包括的ビューがあることで、Google Threat Intelligence はさまざまな方法で組織の保護をサポートできます。たとえば、外部脅威のモニタリング、攻撃対象領域の管理、デジタルリスクからの保護、セキュリティ侵害インジケーター（IOC）分析、専門知識を提供できます。

AI を活用した運用化

脅威インテリジェンスの運用化における従来の方法では、労力がかかり、新たな脅威に対する対応が遅くなる場合があり、数日から数週間かかることもあります。

Google Threat Intelligence は、Gemini を使用して、不正な可能性があるコードを分析し、検出結果の概要を提供します。

Google は、脅威の状況の包括的ビューと Gemini を組み合わせることで、脅威調査プロセスの強化、防御機能の拡張、新たな脅威に対する特定と保護にかかる時間の短縮を実現しています。これで、大規模なデータセットを数秒で集約して、疑わしいファイルを迅速に分析し、脅威インテリジェンスの難しい手動タスクを簡素化できます。

Gemini が脅威インテリジェンスを簡素化し、支援する仕組み

Gemini 1.5 Pro は、Google Threat Intelligence の重要な要素です。これを統合したことにより、マルウェアの撃退においてセキュリティ担当者をより効率的かつ効果的に支援できるようになりました。

Gemini 1.5 Pro は、最大 100 万個のトークンに対応した世界最長のコンテキスト ウィンドウを提供します。Gemini 1.5 Pro により、サイバーセキュリティ担当者はきわめて高度なマルウェア分析手法を利用できるようになり、リバース エンジニアリング マルウェアのテクニカルで労力のかかる処理を劇的に簡素化できます。実際に、Gemini 1.5 Pro が単一パスで WannaCry のマルウェア ファイルの逆コンパイルされたコード全体を処理し、分析を提供して、キルスイッチを特定するまで 34 秒しかかからなかったことがあります。

また、Google は、データの統合と拡充を自動化する Gemini を活用したエンティティ抽出ツールも提供しています。このツールは、自動的にウェブをクロールして、関連するオープンソースのインテリジェンス（OSINT）を抽出し、オンライン業界の脅威レポートを分類します。次に、その情報をナレッジ コレクションに変換し、適切な探査と対応のパックを目的、ターゲット、TTP（戦術、技術、手順）、アクター、ツールキット、セキュリティ侵害インジケーター（IoCs）から引き出します。

Google Threat Intelligence は、過去 10 年より前からの脅威レポートを抽出して、包括的なカスタムのサマリーを数秒で作成できます。

Google をセキュリティ チームの一員に

Google Threat Intelligence は、組織の脅威インテリジェンスの取り組みにおいて Google がサポートできる方法の一つにすぎません。お客様がサイバー脅威インテリジェンスのスタッフ向けトレーニング、複雑な脅威の優先順位付けのサポート、あるいはチーム専任の脅威アナリストなどを必要とされる場合は、Google のエキスパートがお客様のチームの補佐役としてお手伝いいたします。

Google Threat Intelligence は、Google Cloud セキュリティの包括的なセキュリティ ポートフォリオで、Google Security Operations、Mandiant コンサルティング、Security Command Center Enterprise、Chrome Enterprise が含まれます。Google は世界で他の誰よりも多くの人々と組織のオンライン セキュリティを確保しており、お客様は Google のサービスを利用することで、Google が使用しているものと同じ機能でセキュリティに対処できるようになります。

Google Threat Intelligence、および Google Cloud セキュリティの包括的なポートフォリオに含まれるその他のソリューションについて詳しくは、RSA Conference のブース（N5644）にお立ち寄りいただくか、Google の基調講演、プレゼンテーション、イベントにぜひご参加ください。今後開催予定の Google Threat Intelligence ユースケースのウェブセミナー シリーズにもぜひご登録ください。また、Google Cloud の脅威インテリジェンスに関するブログでは、Google のエキスパートによる分析や詳細な調査の内容をご覧いただけます。

-Google Cloud、セキュリティ部門バイス プレジデント兼ゼネラル マネージャー Sunil Potti
-Google Threat Intelligence 担当バイス プレジデント Sandra Joycem