現代企業における脅威インテリジェンスの強化
現代の複雑な企業環境では、脅威インテリジェンスが重要な課題となっています。攻撃者は様々なレベルで活動し、重要なデータやツールは散在しているため、監視能力が低下しています。セキュリティチームは、最新の脆弱性や攻撃者の行動、キャンペーンについての情報を常に把握できていない中で、多数のアラートを評価する難しい作業に直面しています。
AI駆動ソリューションの準備はできていますか?
Google Cloudは、Google Threat Intelligenceの導入により、小規模なチームでも脅威の最新情報を手に入れられることを目指しています。この革新的なプラットフォームは、RSAカンファレンスで発表され、Gemini AIの機能とVirusTotalおよびMandiantのデータを組み合わせています。
「脅威インテリジェンスには、幅広さと深さの適切なバランスが必要です」と、Google CloudのクラウドセキュリティエンジニアリングVP、エリック・ドーア氏は述べています。従来の提供者は片方に偏ったアプローチを採用しており、多くの組織は自らのソリューションを模索せざるを得ませんでした。
脅威インテリジェンスの中心的要素の統合
VirusTotalは、100万人以上のユーザーが参加するグローバルコミュニティであり、ファイルやURLを含む脅威指標についてインテリジェンスを共有しています。Mandiantの研究者は、攻撃者の行動を継続的に調査・分析しています。「これら二つの脅威インテリジェンスの柱がうまく統合されており、Googleの広範な脅威視認性がさらに強化しています」とドーア氏は説明します。Googleは40億台のデバイスと15億アカウントを保護し、毎日1億件のフィッシング攻撃を防いでいます。この堅牢なインフラは、インターネットおよびメールに基づく脅威に関する貴重な洞察を提供し、より広範な悪意のあるキャンペーンと結びつけます。
さらに、Googleはセキュリティコミュニティから提供されたオープンソースの脅威インテリジェンスを活用しており、顧客は包括的なIoC分析、外部脅威の監視、攻撃面管理、デジタルリスク保護の利益を享受しています。テクターゲットのエンタープライズ戦略グループの主任アナリスト、デイブ・グルーバー氏は、「脅威インテリジェンスには事欠きませんが、特定の組織に合わせてそのインテリジェンスを文脈化し、運用することが課題です」と述べています。VirusTotalとMandiantとGoogle、AIの統合により、セキュリティチームはアクセスしやすく、実用的な脅威インテリジェンスを手に入れます。
Geminiの力を引き出す
新しい脅威インテリジェンスプラットフォームの中核には、GoogleのGemini 1.5があります。このモデルは、ユーザーが質問を投げかけ、Google、Mandiant、VirusTotalの脅威インテリジェンスリポジトリを広範に検索して回答を得ることを可能にします。
Geminiの機能には、エンティティ抽出、自動的なオープンソースインテリジェンス(OSINT)の収集、業界の脅威レポートの分類が含まれます。このデータは、脅威者のプロファイル、戦術、技術、手順(TTP)、侵害指標(IoC)を含む知識コレクションに変換されます。ドーア氏は、Gemini 1.5が最大100万トークンの長文入力を対応可能で、従来の時間を要するマルウェアの逆エンジニアリングプロセスを効率化できる点を強調しました。この技術は、グローバルなサイバーセキュリティ人材不足の中での高い需要に応えています。最近のテストでは、GeminiがWannaCryランサムウェア攻撃のコードをわずか34秒で分析したこともあり、従来7時間を要していたものです。この文脈ウィンドウにより、AIは99%以上のマルウェアサンプルを効果的に分析でき、脅威インテリジェンスの能力において大きな進展となっています。
脅威インテリジェンスの業務フローの合理化
毎月新たな脅威が登場し、Scattered Spiderのような攻撃が発生する中、セキュリティアナリストは真の警告と偽陽性の中で圧倒されています。Google Threat Intelligenceは、膨大なデータセットを迅速に要約し、疑わしいファイルを分析し、手作業のタスクを削減することを可能にします。新たな脅威は自動的にワークフローに統合され、セキュリティチームの状況認識が向上します。
ドーア氏は、このプラットフォームの独自の特徴、すなわち高優先度の新たな脅威に対するデータの自動豊富化を強調しました。「単にアラートに反応するのではなく、チームは広範な調査を省略できます」と彼は述べています。
多くのGoogle顧客は専任の脅威インテリジェンスチームを持たず、複数のソースからデータを扱う小規模なチームで運営されており、それが脅威の迅速な評価を妨げることがあります。「セキュリティ状況を把握するのに数日から数週間かかることもあります」とドーア氏は説明します。このプラットフォームは、彼らの研究と対応時間を大幅に短縮します。
専任の脅威チームを持つ大企業にとっても、プラットフォームはルーチンタスクを自動化し、チームが業界特有の脅威への対応に集中できるようにします。ドーア氏は、脅威は「ピラミッド」のように存在し、ランサムウェアのような広範な攻撃からヘルスケアのような特定の業界をターゲットとしたものまで多岐にわたると指摘しました。セキュリティチームは下位の脅威に多くの時間を費やしがちですが、よりターゲットを絞ったリスクを見落としがちです。「すべての脅威を効果的に管理できる十分な高スキルの人材は存在しません」と彼は結論づけ、組織のセキュリティ強化のために業務の合理化の重要性を強調しました。
ランキング
