- Google Cloudに関する記事
【まとめ】Google Cloud Next Tokyo ’24 DAY 2 ブレイクアウトセッション「脅威インテリジェンス プラットフォームの新しいかたち: Google Threat Intelligence で何が変わるのか?」
こんにちは、クラウドエース 技術本部 SRE部の高橋です。
2024 年 8 月 2 日、 Google Cloud のカンファレンス イベント Google Cloud Next Tokyo ’24 DAY 2 が開催され、Google Cloud の生成 AI のコンセプトと実際の活用事例についての発表がされました。
今回は、Google Cloud Next Tokyo ’24 DAY2 のブレイクアウトセッション「脅威インテリジェンス プラットフォームの新しいかたち: Google Threat Intelligence で何が変わるのか?」の内容をご紹介します。
スピーカーは Google Cloud セキュリティ カスタマー エンジニアの古澤 一憲氏 です。
目次
私たちが置かれている環境
Mandiant 社のレポートによると、2024 年に発見されたマルウェアは昨年と比較して増加しており、特に新しい脆弱性を利用するマルウェア攻撃が増えています。新しい脆弱性を利用した攻撃は、システムに致命的な影響を与え、深刻なダメージを引き起こすことが多いです。
また、私たちの住むアジア地域では、攻撃者がシステムに侵入してから目的を達成するまでの時間が他の地域に比べて短くなっています。理由は、攻撃自体のパッケージ化が進んでいるからです。
そんな攻撃の実態は、同じグループが繰り返し攻撃を行っているケースが多く、「同じ人達が同じような手口で攻撃している」ことがほとんどのようです。
このような脅威に対抗するために生まれたのが、Google Threat Intelligence です。
Google Threat Intelligence はなぜ必要だったのか
Google Threat Intelligence の誕生
元々、Google Cloud はサイバーセキュリティとして、VirusTotal を提供していました。VirusTotal は、世界中のユーザーからマルウェアのサンプルを収集し、分析するプラットフォームです。しかし、単なるマルウェアの分析だけでは、脅威に対する包括的な対策を講じることが年々難しくなっていきます。
2 年ほど前、Google は Mandiant との連携を開始しました。Mandiant は、自社の専門家がキュレーションした脅威情報を提供することで評価されている企業です。この Mandiant の情報と、VirusTotal のデータを組み合わせ、さらに Google のセキュリティ ソリューション を掛け合わせることで、強力な脅威インテリジェンス プラットフォームが誕生しました。それが Google Threat Intelligence です。
Google Threat Intelligence の機能とデモ
デモでは、ドメインの脆弱性に関する情報を提供する機能が紹介されました。単に脆弱性を調べるだけでなく、そのドメインに関連する攻撃キャンペーンや攻撃グループまで追跡し、攻撃の全体像を把握する様子が披露されました。
リスクベース アプローチ
一概にリスクベース アプローチと言っても、守るべき組織からの視点と攻撃者の視点の 2 つの視点があります。
守るべき組織視点の現状では、全ての脅威に対応することは不可能です。そのため、組織は自分たちにとって甚大な被害をもたらす脅威に集中する必要があります。
攻撃側の視点から考えると、前述の通り攻撃グループは限られており、さらに自分たちの業界を狙うとなると、その攻撃者をほとんど絞り込むことができます。
脅威インテリジェンスの体系化
従来の脅威インテリジェンスは、担当範囲が分離していることにより連携がチグハグになることが多々ありました。Google Threat Intelligence は戦略担当から現場担当までをシームレスに繋ぐことができ、ギャップを埋めることができます。
脅威インテリジェンス活用の新しい形
脅威インテリジェンスを活用したデモなどが披露されました。
脅威プロファイリング
脅威プロファイリングによって、自分の組織を狙う脅威に集中してアプローチを取ることができます。
デモでは、日本のヘルスケア産業を例に挙げ、アクティビティのレポートや、攻撃キャンペーンの最新情報を追い続ける様子が披露されました。
Indicator of Compromise(IoC)調査解析
不審なログやファイルから得られた IoC を調査し、得られた脅威の情報を運用に落とし込むことによって、モニタリングを強化することができます。
能動的リスク監視
能動的リスク監視として ASM と DTM の 2 つがあります。
Attack surface Management(ASM)
外部から見えているもの = 危ないものと考え、優先してそれらを潰していくアプローチです。
しかし、ネット上から捨てたと思ってたデータが、意外と外部から見える状態で残っていたりすることが多いです。そうなると、どの危険に優先的に対応していけばいいかがわからなくなります。
そこで Intelligence と ASM を組み合わせることで、悪用されているものから優先的に対応できるようになります。
Digital Threat Monitoring(DTM)
ダークウェブ市場における認証情報の売買などを、防御側から確認するアプローチです。
防御側が先にパスワードを変えてしまえば、攻撃者は市場で買ったパスワードを使うことができません。攻撃者への先制攻撃とも言えるアプローチです。
インテリジェンス駆動セキュリティ オペレーション
ここまでは、外部ネットワーク(敵を知る)の話をしてきましたが、堅牢なセキュリティを実現するには組織ネットワーク(己を知る)も大事です。
Google Threat Intelligence と Google SecOps との連携により、組織はログデータとインテリジェンス データの両方を活用することができます。この統合により、インテリジェンスをアクションに繋げることができるようになります。
まとめ
Google Threat Intelligence は、Mandiant や VirusTotal などの強力な脅威インテリジェンスサービスを統合し、AI 機能の活用を提供する新しいプラットフォームであることがわかりました。脅威インテリジェンスの体系化とリスクベースアプローチを通じて、組織はより効果的に脅威に対抗することができるようになるでしょう。
最近は、サイバー攻撃によって甚大な被害を受ける企業の話などもよく耳にするので、Google Threat Intelligence は非常に注目すべきサービスだと感じます。
今後のセキュリティと生成 AI の進化に期待が高まります。
※Google Cloud および Mandiant は Google LLC の商標です。
この記事を共有する