コンテンツに移動
セキュリティ & アイデンティティ

Google Cloud のお客様へ Virtual Machine Threat Detection の一般提供開始のお知らせ

2022年8月31日
Google Cloud Japan Team

※この投稿は米国時間 2022 年 8 月 26 日に、Google Cloud blog に投稿されたものの抄訳です。

本日、市場初となる Google 独自の検出機能の Security Command Center の Virtual Machine Threat Detection(VMTD)が、すべての Google Cloud お客様向けに一般提供されたことをお知らせいたします。このサービスは 6 か月前に公開プレビュー版としてリリースされ、多くのお客様から高い関心をお寄せいただき、世界中のさまざまな業界のユーザーから採用されています。長年にわたって Google は、セキュリティは後付けではなく、組み込み型であるべきだと言い続けてきました。この機能を仮想化スタックに組み込むことで、見えないセキュリティを提供するという約束を果たしています。  

Google Cloud のチームは、サービスのスケーリング、検出機能の改良、次なる重要な機能セットの準備に尽力しています。一般提供される VMTD は、非常に多くのインスタンスに対して、より頻繁なスキャンに対応するようにスケーリングされています。Google Cloud Compute Engine(GCE)フリートからメモリのスキャンをスケーリングするにあたり、特有の課題が生じました。そこで、従来より小さいながら、より重要なメモリ セクションをさらに高い頻度でスキャンできるよう、スキャン結果のキャッシュ保存に投資してきました。

お客様は、Security Command Center Premium 設定でチェックボックスをオンにするだけで、簡単に VMTD を有効にできます。サードパーティ エージェントのデプロイに伴う課題と比較すると、お客様は総じてこれは画期的であるという見解を示しています。VMTD はインスタンス内ではなく、ハイパーバイザからデプロイされるため、Google の計測は、従来のエンドポイントでの検知と対応の技術(EDR)搭載エージェントほど、攻撃者にさらされません。これは攻撃者には見えないアプローチで、こちらがスキャンしても攻撃者は検出できません。いくつかのチェックボックスをオンにして VMTD を有効にすることで、コンピューティング オーバーヘッドを使用することなく、数百万のコンピューティング インスタンスに対する保護を有効できます。

VMTD を Google Cloud のお客様の環境にデプロイしたところ、複数の攻撃と、いくつかの予期しない誤検出が明らかになりました。一例を挙げると、Google が作成した YARA ルールによって、お客様のアンチウイルス エージェントが暗号通貨のマイニングとして検出されました。これは名前のないエージェントが、その保護スキームの一部として、多くのマイニング プールドメインを解決することになったためです。Google の YARA ルールは、Threat Analysis Group(脅威分析グループ)と Google Cloud Threat Intelligence(脅威インテリジェンス)の専門知識の両方を活用し、Google の優れた脅威インテリジェンス コミュニティと共同で開発されています。Google は、クラウドネイティブのマネージド サービスとして常にこのようなケースに目を光らせ、すべてのお客様に対してサービスの向上に努めています。

今回のリリースでは、特定のインスタンスにおけるマイニングの検出に加え、大半のインスタンスで、マイニング アクティビティに関与している特定のプロセスを識別してレポートできるようになったことをお知らせいたします。VMTD を使用することで、Linux カーネルについてより深く理解し、インスタンス内のエージェントなしで、観測した脅威の実行に関する具体的な詳細をレポートできるようになりました。これにより、検出に対する優先順位付け、調査、対応をより簡単に行うことができます。

仮想マシン イントロスペクションに関する学術文献では、ハードウェアの内容からカーネルデータ構造体の意味を理解することを、「セマンティック ギャップを埋める」と呼んでいます。今回のリリースでは、VMTD によってこのギャップを埋め、対象となる仮想マシンのメモリの内容から、セキュリティ チームにとって有用な分析情報を引き出せることを証明しています。

今後は、Linux カーネルに関する VMTD の理解をより深めてさらなる高度な攻撃を検出し、ライブ テレメトリーをお客様に報告する予定です。VMTD は、インスタンス外のオブザーバーという他とは違う立場で、ルートキットとブートキットを検出し、カーネルの整合性の改ざんやカーネルと EDR を機能させないといった攻撃を検出できます。

クラウド コンピューティング環境において最も一般的な脅威の検出に進展があったことを嬉しく思っています。このサービスをお試しになりたい場合は、Security Command Center Premium の設定ページに移動して、Virtual Machine Threat Detection をオンにしてください。Security Command Center Premium と Virtual Machine Threat Detection の詳細については、ドキュメント ページをご覧ください。


- シニア プロダクト マネージャー Timothy Peacock
投稿先