セキュリティ運用におけるエージェント AI の新時代

Payal Chakravarty
Director, Product Management, Google
Vijay Ganti
Director, Product Management
※この投稿は米国時間 2025 年 4 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。
毎日大量のアラートを精査し、反復作業をこなすことは、セキュリティ チームにとって大きな負担です。防御側は進化する脅威への対応に苦慮することが多々ありますが、AI の急速な進化により状況は変わろうとしています。
このたび、RSA Conference で M-Trends 2025 を紹介し、防御者を支援する方法について説明するなかで、セキュリティ運用における AI エージェントの活用に向けた Google が描く未来像についても詳しくお伝えします。
エージェント AI は、セキュリティ チームの本質的かつ構造的な変革をもたらすと期待されています。インテリジェント エージェントが人間のアナリストと連携して働き、日常的なタスクの自律的な処理、人間の意思決定の補強、ワークフローの自動化をすることで、人間の専門知識が欠かせない複雑な調査や戦略的課題など、最も重要な分野にアナリストが注力できるようになります。
エージェント AI の未来像
支援型 AI が人間のアナリストによる活動のサポートを主とするのに対し、エージェント AI はさらに進んで、目標を達成するためにタスクを自主的に見つけて理論的に考え、動的に実行できます。その過程で人間のアナリストの関与は常に保たれます。
セキュリティにおけるエージェントについて Google が描く未来像は、Gemini in Security Operations でお客様が現に体感している具体的なメリットに基づいたものです。
Apex Fintech Solutions のシニア情報セキュリティ ディレクター Hector Peña 氏は次のように話しています。「アナリストが 30 分や 1 時間もかけて正規表現を書くことは、もうありません。Gemini を使えば数秒で済みます。」
Google は、エージェント AI がセキュリティ運用に変革をもたらすと考えています。エージェント セキュリティ オペレーション センター(SOC)は、複数のユースケース ドリブンなエージェントを連携させることで、防御者に代わって半自律型および自律型のセキュリティ運用ワークフローを実行できます。
エージェント SOC
Google は、Gemini in Security を使用してエージェント SOC 用のツールを次々に構築しています。今月に行われた Google Cloud Next では、新たに 2 つの Gemini in Security エージェントを発表しました。


Google Security Operations のアラート トリアージ エージェントは、動的な調査を自律的に実施し、判定結果を提供します。
Google Security Operations では、アラート トリアージ エージェントがユーザーに代わって動的に調査を実施します。このエージェントは 2025 年第 2 四半期に一部のお客様を対象にプレビュー版が提供される予定となっており、各アラートのコンテキストを分析して、関連情報を収集し、アラートに関する判定を表示します。
また、エージェントの根拠、推論過程、意思決定に関する完全な透明性を備えた監査ログも提供されます。この常時稼働の調査エージェントは、ティア 1 およびティア 2 アナリストの作業量を大幅に削減します。これらのアナリストは、これまで 1 日に何百件ものアラートをトリアージして調査してきました。


Google Threat Intelligence のマルウェア分析エージェントがリバース エンジニアリングを実行します。
Google Threat Intelligence では、マルウェア分析エージェントがリバース エンジニアリングを実行して、ファイルが悪意のあるものかどうかを判断します。このエージェントは 2025 年第 2 四半期に一部のお客様を対象にプレビュー版が提供される予定となっています。難読化解除用のスクリプトを作成して実行する機能などを使用して悪意のある可能性のあるコードを分析し、分析内容を要約して最終的な結論を提示します。
こうした投資の成果により、エージェント SOC は、人間のアナリストと共同で作業して効率を飛躍的に向上させる、連携マルチエージェント システムとなっています。これらのインテリジェント エージェントは、セキュリティと脅威の管理を本質的に変革することを目的とし、アナリストと連携して働いて一般的なタスクとワークフローを自動化し、意思決定を改善することで、最終的にアナリストが複雑な脅威への対応に集中できるように支援します。


エージェント SOC は、人間のアナリストと共同で作業する連携マルチエージェント システムになります。
この未来像がどのように実践されるかを説明するため、エージェントとの共同作業による日常的なセキュリティ タスクの変革例を以下に示します。Google Cloud は、重要な SOC 機能の多くを自動化、オーケストレートできると考えています。
-
データ マネジメント: データ品質を確保し、データ パイプラインを最適化します。
-
アラートのトリアージ: アラートの優先順位付けとエスカレーションを行います。
-
調査: アラートに関する根拠の収集と判定、分析の各ステップの文書化、対応メカニズムの決定を行います。
-
対応: エンドポイントの分離など、数百の統合機能を使用して問題を修復します。
-
脅威の調査: インテリジェンスを分析して脅威ハンティング エージェントなどの他のエージェントと共有することで、サイロを解消します。
-
脅威ハンティング: Google Threat Intelligence のデータを使用して、環境内の未知の脅威を積極的に探します。
-
マルウェア分析: ファイルを大規模に分析し、潜在的に悪意のある属性を検出します。
-
露出管理: 内部および外部のソースを積極的にモニタリングして、認証情報の漏洩、イニシャル アクセス ブローカー、悪用された脆弱性を検出します。
-
検出エンジニアリング: 脅威プロファイルを継続的に分析し、検出ルールの作成、テスト、微調整ができます。
エージェント AI を支える Google の強み
現実のセキュリティ アプリケーション向けに信頼性と効果の高いエージェントを開発するには、3 つの重要な要素が必要です。Google はそのすべてを高いレベルで兼ね備えています。
-
豊富なセキュリティ データと専門知識を活用して、エージェント向けの指針を提供します。
-
最先端の AI 研究を統合し、成熟したエージェント開発ツールとフレームワークを使用して、再利用可能でスケーラブルなエージェント システム アーキテクチャの作成を可能にします。
-
スケーラビリティの高い安全なインフラストラクチャから最先端のモデルまで、Google が持つ完全な AI 技術スタックが、エージェント AI 開発のための堅牢な基盤を提供します。
これらの利点を生かしてセキュリティ エージェントのための明確なフレームワークを確立し、AI が人間レベルの計画と推論をエミュレートできるようにすることで、セキュリティ タスクにおいて汎用大規模言語モデルよりも優れたパフォーマンスを実現できます。
このアプローチにより、セキュリティ タスク全体で高品質かつ一貫した結果が得られるだけでなく、既存のセキュリティ機能をモジュール化することで新しいエージェントの開発が容易になります。その結果、再利用可能でタスクに特化したさまざまなセキュリティ エージェントを構築できます。
さらに、開発者に関係なくエージェントを相互運用できるため、自律性と生産性が向上し、長期的なコスト削減につながります。Google Cloud Next で発表されたオープンな Agent2Agent(A2A)プロトコルはこれを促進し、Model Context Protocol(MCP)を補完して、セキュリティ アプリケーションやプラットフォームとの標準化された AI インタラクションを実現します。
相互運用性をさらに向上させるため、このたび Google Unified Security 向け MCP サーバーがオープンソース化されました。これにより、ユーザーは Google Cloud とエコシステム ツールを組み合わせたカスタム セキュリティ ワークフローを構築できるようになります。Google はオープンなエコシステムを推進し、エージェントがさまざまなプロダクトやベンダー間で動的に連携できる未来を描いています。
「MCP を Gemini と組み合わせて、さまざまなカスタムツールや商用ツールと連携させる絶好の機会があります。そうすることで、アナリストが Google Security Operations プラットフォームを使用する際、データ収集、データ拡充、コミュニケーションのアドホックな実行が容易になります」と、Emerson のイネーブルメント オペレーション担当主任サイバーインテリジェンス アナリストである Grant Steiner 氏は述べています。
AI 向け SecOps Labs のご紹介
Google の AI の取り組みが急速に進むなか、防御者を支援し、コミュニティが直接フィードバックを伝える機会を提供するために、SecOps Labs を導入いたします。このイニシアチブは、Google Security Operations の最先端 AI パイロットへの早期アクセスをお客様に提供するものです。お客様の実経験や貴重なフィードバックを将来の Google Security Operations テクノロジーに直接反映させることで、防御者とのコラボレーションを促進することを目的としています。
初期のパイロットでは、次のような重要なセキュリティ課題に対処するうえでの AI の可能性を体験できます。
-
検出エンジニアリング: このパイロットでは、脅威レポートを検出ルールに自動的に変換し、その有効性をテストするための合成データを生成します。
-
対応ハンドブック: このパイロットでは、過去のインシデントの分析に基づいて、新しいアラートに対する自動化ハンドブックを提案、生成します。
-
データ解析: AI 生成パーサーへの第一歩として、ユーザーが自然言語でパーサーを更新できるようにします。
SecOps Labs は、最新の本番前環境機能を試すことを可能にしつつ、AI 機能を改良して現実世界のセキュリティ課題に対処し、具体的な価値をもたらすようにするための共同作業スペースです。2025 年第 2 四半期にさらに詳しい情報をお届けします。Google Cloud Security とともに、エージェントを活用したセキュリティ運用の未来を形作る取り組みにご参加ください。
RSAC でお待ちしています
エージェント AI とそれがセキュリティにもたらす影響にご興味をお持ちの方は、Google の専門家までご連絡ください。Google Cloud Security の技術についてご説明いたします。モスコーニ センターの北ホールのブース番号 N-6062 またはマリオット マーキスで、Google のセキュリティ専門家がお待ちしています。この機会に、Google をセキュリティ チームの一員に加える方法を確認してください。
対面でのご参加が難しい場合は、こちらから RSA Conference をストリーミング、またはオンデマンドでご視聴いただけます。また、Google Cloud Security コミュニティでは、Google Cloud Security のエキスパートや他の専門家とつながり、知識の共有、リソースへのアクセス、地域イベントの発見、セキュリティ エクスペリエンスの向上を図ることもできます。
-プロダクト マネジメント担当ディレクター、Payal Chakravarty
-プロダクト マネジメント担当ディレクター、Vijay Ganti