Zenn
🧠

Google Threat Intelligence Technical Workshop for Partners 参加レポート

2025/03/28に公開
3
Security
Google Cloud
Google
Cyber Security
googleti
idea

はじめに

こんにちは、クラウドエースの小田です。
今回は、3月12日(水)に行われた、Google Cloud 主催の SecOps Partner 向けのイベント Google Threat Intelligence Technical Workshop for Partners に参加した際の様子を紹介します。

WorkShop 開催の背景

Google Cloud Security のサービスにおいて重要な位置付けを担っている Google Threat Intelligence (以下、Google TI) は、ベンダーに依存しないため、Splunk など他社製品と組み合わせて使用することが可能です。

今回のワークショップでは、この特性を踏まえ、現在使用している製品や、Google Cloud Security パートナーが提供しているサービスと Google TI をどのように組み合わせられるかを考え、新たな提案に繋げることを期待されていました。

Google Cloud Security 製品群について

まず初めに Google Cloud Security の製品群について説明がありました。
Google Cloud Security の製品には、SecOps Partner と Google Cloud Partner がそれぞれ販売可能な製品に分かれており、Google Threat Intelligence は SecOps Partner が販売可能です。

※ 弊社の場合は、SecOps Partner かつ Google Cloud Partner であるため、Google Cloud Security の製品をすべて取り扱っています。

SecOps Partner が販売可能な製品

  • Google Security Operations(Google SecOps)
    • 生成 AI と脅威インテリジェンスが組み込まれた SIEM・SOAR プラットフォーム
  • Google Threat Intelligence(Google TI)
    • 次世代の脅威インテリジェンス
  • Mandiant Consulting Services
    • セキュリティの専門家による支援

Google Cloud Partner が販売可能な製品

  • Chrome Enterprise Premium(旧称 BeyondCorp Enterprise)
    • コンテキストアウェア アクセス制御など、エンドポイント セキュリティ
  • Security Command Center Enterprise
    • マルチクラウド対応の CNAPP

Google Threat Intelligence とは

Mandiant の深い知見と VirusTotal の幅広い情報を組み合わせ、さらに Google が持つ可視化と生成 AI 技術により強化された脅威インテリジェンスです。Google TI は、組織が直面するサイバー脅威をより深く理解し、迅速かつ効果的に対応するための強力なツールとなります。

gti
Google TI とは

Google TI の機能

Google TI の主な機能と、それらを活用方法ついて説明がありました。
以下で紹介します。

Threat Landscape

自組織に関連するサイバーリスクの特定を支援する機能です。

脅威アクター、攻撃に使用されるマルウェアやツール、キャンペーン情報、IoC の提供、MITRE ATT&CK フレームワークにマッピングされた脅威アクターの戦術、技術、手順 (TTP) を調べることができます。

threat_actor
Threat Actor 公式ドキュメント引用(https://gtidocs.virustotal.com/docs/threat-actors-card)

ttp_heatmap
TTP Analysis 公式ドキュメント引用(https://gtidocs.virustotal.com/docs/ttp-analysis)

https://gtidocs.virustotal.com/docs/get-started-threat-landscape

Report & Analysis

脅威アクター、キャンペーン、脆弱性、マルウェア、ツールに関する最新のレポートと分析が提供されており、インテリジェンス主導型のセキュリティ意思決定を支援する機能です。

Mandiant アナリストによって作成および管理されているレポートや、サイバーセキュリティ コミュニティのブログ投稿や記事などから情報を収集することができます。

repot_analysis
Reports & Analysis の画面

https://gtidocs.virustotal.com/docs/get-started-reports-analysis

Vulnerability

実証的なリスクスコアリングと高度にコンテキスト化された侵害指標(IOC)との相関分析を提供します。
また、脆弱性に関する継続的なレポートを更新することで、パッチ適用や緩和対策の優先順位付けを支援する機能です。

vulnerability_list
脆弱性リスト

vulnerability
CVE-2020-1938 の概要

vulnerability_iocs
CVE-2020-1938 に関連する IoC(侵害指標)

vulnerability_exploit
CVE-2020-1938 のエクスプロイト情報

https://gtidocs.virustotal.com/docs/explore-vulnerabilities

Attack Surface Management(ASM)

外部に露出している資産を攻撃者の視点で評価し、悪用可能なもの(リスク)を把握できる機能です。

攻撃の対象となるアセットの把握と可視化を行い、利用されているテクノロジー(アプリケーション、プラットフォーム)の自動判定、クリティカルな脆弱性公開時の影響を迅速に把握するなど、セキュリティリスクの管理を継続的に支援します。

asm_dashboard
ASM Dashboard

asm_entities
ASM Entities(外部露出している資産が一覧表示)

asm_technologies
ASM Technologies(ASM が発見した Entities で利用されているアプリケーションやサービス)

asm_issues
ASM Issues(ASM が発見したリスクが有る問題点が一覧表示)

asm_issues_description
ASM Issues Description(対象となる Entity の情報とともに、この Issue の説明や対応策、CVSS スコアなどが確認できる)

asm_issues_proof
ASM Issues Proof(判断した根拠の情報が確認できる)

https://gtidocs.virustotal.com/docs/get-started-asm

Digital Threat Monitoring(DTM、旧称 Digital Risk Protection)

組織の外にある情報をモニタリングする機能です。

ダークウェブ、ディープウェブに掲載された情報(攻撃予告や顧客情報)を監視し、自社ブランドや製品名といったキーワード設定によるモニタリングや、ヒットしたコンテンツをアラートとして確認することができます。

例えば以下のような使い方が可能です。

  • ランサムウェアリークサイト掲載の監視
  • アクセスブローカーの監視
  • 漏洩した認証情報の監視
  • 偽の類似ドメインの登録監視

dtm
DTM Research Tools の画面 (mandiant.com ドメインのメールアドレスを検索した例)

dtm_content
見つかったコンテンツの画面(言及されている箇所をハイライト)

https://gtidocs.virustotal.com/docs/get-started-dtm

ユースケース、付加価値とメリット

Google TI のユースケース、付加価値とメリットについてご説明がありました。

自組織の敵は?
Threat LandscapeReport & Analytics

  • お客様に成り代わって調査/報告
  • CxO との定期的なコミュニケーションが図れ、セキュリティに関わる経営のアドバイザーになれる

どこから攻撃/侵入される可能性があるか?
ASMVulnerability

  • 継続的なスキャンを踏まえた定期的な報告/改善助言
  • 緊急脆弱性情報発生時にも Entities を検索し報告
  • 「短期的」バッチ対応、セキュリティアップデートなどのサービス提供に繋げられる
  • 「中期的」アセット管理、レガシー資産の対応、付随サービス(ペンテスト、侵害調査)の提案に繋げられる

SOC 運用を効率化したい
Threat LandscapeVulnerability

  • SOC 運用効率化のために、脅威情報を AI が高速に検索・分析
  • 侵害現場の知見が含まれており、高度化、巧妙化するサイバー攻撃への対応やゼロデイ脆弱性を早期発見できる
  • SOC 運用コストの削減、トレーニングプログラムの提案

自組織の情報が漏れていないか?
Digital Threat Monitoring

  • ダークウェブ、ディープウェブに掲載された情報の調査
  • 報告把握した結果を踏まえた付随サービス(侵害調査など)の提案に繋げられる

ライセンス体系

続いて Google TI のライセンスについてご説明がありました。
Google TI には 3 つのグレードのライセンスがあり、SOC を運用されている方には Enterprise 以上がおすすめとのことでした。
ライセンスの料金についてはお問い合わせください。

https://cloud.google.com/security/products/threat-intelligence?hl=ja#pricing
https://assets.virustotal.com/google-ti-packages.pdf

Standard
基本的な脅威インテリジェンス

  • 脅威情報提供(IOC)
  • アタックサーフェス管理(毎日)
  • ダークウェブ監視(認証情報、漏洩情報)

Enterprise
組織に必要とされる脅威インテリジェンス

  • 運用前提の脅威情報提供(継続的 IOC 抽出、脅威プロファイル)
  • アタックサーフェス管理(毎日)
  • ダークウェブ監視(検索)

Enterprise+
大規模組織向け脅威インテリジェンス

  • プロアクティブな脅威情報活用(脅威ハントなど)
  • 全機能が利用可能
  • Google SecOps Enterprise Plus をご契約されている場合はこちらのライセンスが含まれています

Workshop

製品の説明の後は実際に Google TI の機能に触れるハンズオン形式でワークショップが実施されました。
ワークショップでは ASM をメインに、Vulnerability、Digital Threat Monitoring の機能を手元で触ることで、Google TI の機能をより深く理解し、自社やお客様のセキュリティ対策にどのように活用できるかを学びました。

また、Mandiant Security Validation を別途ご利用されている場合は、Google TI の脅威アクターのページからアクターの攻撃をシミュレーションし、現在のセキュリティ設定でどのぐらい防御できているのか確認できる機能についてもご紹介がありました。
https://cloud.google.com/security/products/mandiant-security-validation?hl=ja

CTF (Capture The Flag)

ワークショップの後は、以下の機能について理解を深める CTF (Capture The Flag) が開催されました。

  • Threat Landscape
  • Report & Analysis
  • Digital Threat Monitoring(DTM)

どんな攻撃をされているのかの調査や、脅威アクターが利用するマルウェアや悪用しているツールについて Google TI の機能を利用して調査する問いがあり、Google TI の実際の運用に即したものとなっていました。

ちなみに結果については、運良く筆者が 1 位でした!!
score

景品として Mandiant 時代のとてもレアなステッカーと Chrome Enterprise のカレンダーを頂きました。
ありがとうございます!
swag

まとめ

今回のワークショップでは、Google TI の概要から具体的な活用方法について深く理解することができました。Google TI は、組織のセキュリティ対策を強化し、SOC 運用を効率化するための強力なツールです。

Google TI をはじめとした Google Cloud Security 製品はベンダーに依存せずご利用いただけるため、Google Cloud をご利用されていない方にも興味を持っていただければ幸いです。
Google Cloud Security 製品の導入を検討されている方は、ぜひ弊社までお問い合わせください。

3

Discussion