AIでセキュリティ運用を効率化!Google SecOpsの注目機能をご紹介
投稿者:セキュリティ&ネットワーク事業本部 セキュリティ担当 槨水
こんにちは。セキュリティ担当の槨水です。
近年、セキュリティ運用ではアラートの増加や対応の属人化が大きな課題となっています。本記事では、Google SecOpsの注目機能として、MITRE ATT&CKマトリックスによる脅威カバレッジの可視化と、AIが調査を支援するトリアージエージェントについてご紹介します。
目次
3. 注目機能①:MITRE ATT&CKマトリックスによる脅威カバレッジの可視化
1. セキュリティ運用で求められる「可視化」と「初動対応」
近年、企業を狙うサイバー攻撃はますます高度化・巧妙化しています。
ランサムウェア、認証情報の窃取、フィッシング、内部不正など、組織が警戒すべき脅威は多岐にわたります。
一方で、セキュリティ運用の現場では、日々発生する大量のアラートに対して、限られた人員で迅速に対応しなければならないという課題があります。
例えば、以下のような課題を感じている方も多いのではないでしょうか。
- 日々大量のアラートが発生し、優先順位付けが難しい
- 自社の検知ルールが、どの攻撃手法に対応できているのかまたはどこに死角があるのか分かりづらい
- アラートの内容を確認しても、攻撃全体のどの段階にあたるのか判断しづらい
- 調査手順(関連ログの収集や背景の確認)が担当者の経験に依存し、対応品質にばらつきが出やすい
- 初動調査や報告内容の整理に手動での情報収集に追われて時間がかかる
特にセキュリティ運用では、「どこに検知の抜け漏れがあるのか」を俯瞰して把握することと、「発生したアラートに対して何を確認すべきかを素早く判断すること」が重要です。
そこで今回は、「Google Security Operations」(以後Google SecOps)の注目機能として、以下の2つをご紹介します。
- MITRE ATT&CKマトリックスによる脅威カバレッジの可視化
- トリアージエージェントによるAIを活用した調査支援
これらの機能を活用することで、自社の検知状況を把握しやすくなるだけでなく、アラート発生時の初動調査を効率化し、セキュリティ運用の品質向上につなげることが期待できます。
2. Google SecOpsのおさらい
Google SecOpsは、Google Cloudが提供するセキュリティ運用プラットフォームです。
SIEM、SOAR、ケース管理、脅威インテリジェンス、生成AIによる支援機能などを統合し、ログの収集から脅威検知、調査、対応までを一元的に支援します。
従来のセキュリティ運用では、複数のセキュリティ製品から出力されるログやアラートを個別に確認し、担当者が手動で関連性を判断する必要がありました。
Google SecOpsを活用することで、さまざまなログを集約し、脅威インテリジェンスや検知ルールと照合しながら、サイバー攻撃の兆候を効率的に把握できます。
Google SecOpsの概要や基本的な特徴については、過去の記事でご紹介しています。
まだご覧になっていない方は、ぜひ以下の記事も併せてご覧ください。
Google SecOpsの概要紹介ブログはこちら
本記事では、Google SecOpsの基本機能の説明はおさらい程度にとどめ、セキュリティ運用の現場で特に活用が期待される注目機能として、「MITRE ATT&CKマトリックス」と「トリアージエージェント」に焦点を当ててご紹介します。
3. 注目機能①:MITRE ATT&CKマトリックスによる脅威カバレッジの可視化
まずご紹介するのは、MITRE ATT&CKマトリックスによる脅威カバレッジの可視化です。
MITRE ATT&CKとは、実際のサイバー攻撃で観測された攻撃者の戦術や技術を体系的に整理したナレッジベースです。
攻撃者が「何を目的に」「どのような手法を使うのか」を、戦術や技術という形で整理しているため、セキュリティ担当者が攻撃の全体像を理解するうえで役立ちます。
例えば、初期侵入、実行、権限昇格、防御回避、認証情報アクセス、横展開、情報持ち出しといった攻撃者の行動を、共通のフレームワークで整理できます。
これにより、単体のアラートだけでは見えにくい攻撃の流れや、自社の検知状況を把握しやすくなります。
Google SecOpsでは、このMITRE ATT&CKマトリックスを利用して、自社の検知ルールがどの戦術・技術をカバーしているのかを視覚的に確認できます。
マトリックス上で関連する検知ルールの適用状況を確認できるため、「どの攻撃手法に対する検知が強いのか」「どの領域に改善余地があるのか」を把握しやすくなります。
図1:Google SecOpsにおけるMITRE ATT&CKマトリックス
この機能により、セキュリティ担当者は以下のような確認を行いやすくなります。
- 自社の検知ルールがMITRE ATT&CK上のどの戦術・技術に対応しているか
- 検知ルールが少ない、または存在しない領域はどこか
- 検知カバレッジを改善するために、どの領域を優先すべきか
- 新たに取り込むべきログソースや追加すべき検知ルールは何か
従来の運用では、検知ルールを個別に確認しても、それが攻撃全体のどの領域をカバーしているのかを把握するには時間がかかりました。
Google SecOpsのMITRE ATT&CKマトリックスを活用することで、自社の検知状況を俯瞰的に確認し、検知の抜け漏れや改善余地を把握しやすくなります。例えば、ある攻撃手法に対する検知ルールが少ない場合、その手法の詳細を確認し、必要なログソースの取り込みや検知ルールの追加を検討できます。
また、汎用的な脅威への検知はGoogle SecOpsに用意された検知コンテンツを活用しつつ、自社固有の業務や環境に合わせた検知はカスタムルールで補う、といった運用も考えられます。
MITRE ATT&CKマトリックスは、単なる表示機能ではなく、検知カバレッジの改善や検知ルール整備の優先順位付けに役立つ機能といえるでしょう。
4. 注目機能②:トリアージエージェントによる調査支援
次にご紹介するのは、トリアージエージェントによる調査支援です。
セキュリティ運用におけるトリアージとは、発生したアラートやインシデントに対して、優先度や影響範囲を確認し、次に取るべき対応を整理する作業を指します。限られた人員と時間の中で、どのアラートから対応すべきかを判断するために重要なプロセスです。
しかし、実際の運用では、1つのアラートを調査するだけでも、対象ユーザーや端末、関連ログ、過去の類似イベント、脅威インテリジェンス上の評価、誤検知の可能性など、多くの確認が必要になります。
これらをすべて手動で確認する場合、時間がかかるだけでなく、担当者の経験やスキルによって対応品質に差が出やすいという課題があります。
Google SecOpsのトリアージと調査のエージェントは、Google SecOpsに組み込まれたAI搭載の調査アシスタントです。
アラートに対して関連情報の収集や分析を行い、真陽性(実際に対応が必要な可能性が高いアラート)または偽陽性(実際には問題ない可能性が高いアラート)の可能性、評価の概要、調査の過程、推奨される次のステップなどを提示します。担当者は、AIが提示した調査結果や根拠を確認したうえで、最終的な判断を行います。
トリアージエージェントの調査結果では、主に以下のような情報を確認できます。
- アラート内容の要約
- 真陽性または偽陽性の可能性に関する評価
- 関連するログやイベントの整理
- 脅威インテリジェンスを用いたIoCの確認
- 調査過程や根拠の提示
- 推奨される次のステップの提示
これにより、担当者はアラートの内容を一から読み解くのではなく、AIが整理した情報をもとに、追加調査や対応方針を検討できます。
図2:トリアージエージェントによる調査結果の表示例
※ブラウザ翻訳により、一部表示が崩れています。
図3:トリアージエージェントの調査過程の表示例
※ブラウザ翻訳により、一部表示が崩れています。
トリアージエージェントを活用することで、関連情報を集約して確認でき、攻撃の対象者や攻撃内容、必要な対処方針など、調査に必要な観点を迅速に整理できます。
また、調査の過程や関連するイベント情報も確認できるため、単に結果だけを見るのではなく、「なぜそのように評価されたのか」を把握しながら判断を進めることができます。
これにより、経験の浅い担当者でも調査の流れを理解しやすくなり、初動対応の効率化や対応品質の安定化につながります。
このように、トリアージエージェントはセキュリティ担当者の判断を置き換えるものではなく、調査に必要な情報整理を支援する「相棒」のような機能です。
アラート対応の初動に必要な情報を素早く整理し、対応方針を検討するうえで有効な機能といえるでしょう。
5. おわりに
いかがでしたでしょうか。
本記事では、Google SecOpsの注目機能として、MITRE ATT&CKマトリックスによる脅威カバレッジの可視化と、トリアージエージェントによる調査支援についてご紹介しました。
MITRE ATT&CKマトリックスを活用することで、自社の検知ルールがどの攻撃手法に対応しているのかを可視化し、検知カバレッジの改善につなげることができます。
また、トリアージエージェントを活用することで、AIがアラートの調査や情報整理を支援し、初動対応の効率化や対応品質の安定化が期待できます。
さらに、トリアージエージェントは単体で調査を支援するだけでなく、Playbookと組み合わせることで、アラート発生後の一次対応を自動化する活用も可能です。例えば、AIによる調査結果をもとに条件分岐を行い、特定の条件に該当するケースを自動でクローズする、といった運用も可能です。
本記事では機能概要を中心にご紹介しましたが、次回のブログでは、トリアージエージェントを活用したアラート調査やPlaybook連携による自動化について、実際の検証内容を交えてご紹介できればと思います。
「セキュリティ運用を効率化したい」
「アラート対応の属人化を解消したい」
「AIを活用したセキュリティ対策に興味がある」
そんな方は、ぜひ弊社までお問い合わせください!
Google SecOpsに関するご相談はこちら
