脅威インテリジェンスとAIで
セキュリティーを民主化

　 Google Cloud はここ数年、セキュリティー領域の投資と技術革新を強化してきた。2022 年に脅威インテリジェンスやインシデント対応のリーディングカンパニーであるMandiant を統合したのもその一貫であり、これによってクラウドのみならず、オンプレやマルチクラウド環境を保護し、組織の安全な事業運営を支援できる包括的なセキュリティソリューション群の提供が可能になった。

　その Mandiant が発表した「M-Trendsレポート 2025」は、実際の侵害調査の最前線からのデータ分析や専門家の知見とともに、最新の脅威のトレンドが俯瞰的に網羅されている。

　「例えば、初期感染の経路としては、メールによるフィッシングに代わって脆弱性の悪用が増えている傾向がここ数年続いています。特に日本を含むアジア太平洋地域でその割合が高く、実に全体の 64%に上ります」と Google Cloud の橋村 抄恵子氏は紹介する。

　また、攻撃者のアクションもより迅速になっているという。ランサムウエア攻撃が目的を達成するまでの滞留時間は、同じくアジア太平洋地域のデータで4日間。セキュリティー対策を回避する攻撃や、ゼロデイ脆弱性の悪用など検出が難しい攻撃が増えていることもあり、侵入を自組織で検知できたのは全体の31％に留まる。ランサムウエアに限るとこの割合はさらに少なくなり、わずか11%となる。

　「これらのデータから読み取れるのは、セキュリティー対応にはよりスピードが求められるということです。そのために、セキュリティー運用において必要な意思決定を迅速に、かつ適切に行うことができる態勢づくりが求められています」と橋村氏は言う。

　 Google Cloud はこうした課題に対し、大きく3つの軸で組織のサイバー防御強化の取り組みを支援している。1つ目は最前線の脅威にかかわるインテリジェンスの提供。2つ目は、それらを活用した「インテリジェンス駆動型のセキュリティー運用」の実現。そして3つ目は、設計段階から強固なセキュリティーを備えたクラウドインフラとしての Google Cloud だ。さらに、これらすべての領域で Google の生成 AI である「 Gemini 」を統合。脅威をいち早く特定し、高度なスキルが求められる様々な業務を簡素化・効率化するほか、経験の浅い人材のスキルアップを支援することで、セキュリティーの民主化を推し進めている。

　「1つ目の脅威インテリジェンスや2つ目のインテリジェンス駆動型のセキュリティー運用は、 Google Cloud のユーザーでなくてもそのメリットを享受できます。クラウドやオンプレミスでシステムを構築・運用しているあらゆる企業・組織が高度化する脅威に対抗し、重要なデータとビジネスを守る手立てをご提供します」と橋村氏は言う。

迅速かつ適切な意思決定の肝になるのが、「 Google Threat Intelligence 」だ（図１）。 　「 Google は、世界中の 50億台以上のデバイスや15億ものメールボックスなどを日常的に保護する中で得た知見や、Mandiantがインシデント調査の最前線から得たデータ、当社が保有する世界最大規模のマルウエアデータベース『VirusTotal』をソースとして活用します。また、Mandiantが収集した国家レベルの脅威グループの戦略・戦術にかかわるインテリジェンスも含んでいます」（橋村氏）

　 Google Threat Intelligence には Gemini が組み込まれている。例えば、不審なプログラムコードを を Google Threat Intelligence の画面に入力することで、そのコードの潜在的な悪意ある動作を迅速に把握して、セキュリティー上の問題の迅速に発見できるという。「疑わしい場合にはその理由も表示するため、以降の対応に役立てることができるでしょう」と橋村氏は説明する。

　さらに、セキュリティー運用を支援する「 Google Security Operations 」も用意する。SIEM（Security Information and Event Management）やSOAR（Security Orchestration, Automation and Response）、さらにUEBA（User and Entity Behavior Analytics）の機能を、1つのプラットフォーム上で提供するという。

　この Google Security Operations の最大の強みは、先に紹介した脅威インテリジェンスともシームレスに統合されていることだ（図2）。 　各種のログを脅威インテリジェンスに照らして分析することで、アラートごとのリスクや対応の緊急度を評価した上で、適切に対処できるようになる。統合された脅威インテリジェンスをセキュリティー運用の現場で直接役立てることで、極めて迅速かつ的確に意思決定を行いアクションにつなげられるようになるという。

　このように、既に様々なセキュリティー業務を Gemini でアシストする世界は現実のものになっているが、 Google Cloud が目指しているのは、 Gemini を活用した「エージェント型 SOC」の実現だ。「複数の専門エージェントが人間のアナリストと連携し、様々なセキュリティーワーク　フローを自動化することで、セキュリティー運用を大幅に効率化し、複雑な脅威や戦略的な優先事項により多くの時間を割けるようになります」と橋村氏は話す。

　そして、このアプローチを加速する機能として新たに発表されたのが「 Gemini in Security エージェント 」である。

　第一弾として、アラートトリアージ（発生したアラートの中から対応の必要性や緊急度、優先度を判断する）を担うエージェントと、マルウエア分析業務を包括的に支援するエージェントを開発。近日中にパブリックレビューを開始する予定だという。また、これまでセキュリティーチームが手作業で行ってきた業務の多くを Gemini に任せられる世界の実現に向けたビジョンも発表されている。セキュリティー領域での AI の可能性はますます拡大していくだろう。

　「 Google Cloud は、多様な脅威インテリジェンスと高度なAIを組み合わせることで、お客様のセキュリティー強化の取り組みをご支援します。そこでは、単に製品・サービスを提供するだけでなく、私たち自身が培ってきた脅威の知見や経験、ノウハウもあわせてご提供します。これはグローバルにビジネスを展開する当社ならではの大きな強みだと考えています」と橋村氏は強調する。

　 Google Cloud を自社のセキュリティーチームの一員として迎え入れることで、企業・組織はリスクへの対応を大きく強化できるはずだ。