GoogleSec Opsとは？前編

企業のデジタル変革が進む中で、セキュリティの在り方も大きく変化しています。特にクラウド環境が主流となった現在、リアルタイム性と自動化、インテリジェンスを兼ね備えたセキュリティ運用が求められています。そんな中で注目されているのが、Googleが提供するセキュリティソリューション「Google Security Operations(GoogleSec Ops)」です。

はじめに

「ログ活用」の壁

多くの企業にとって、サイバー攻撃対策といった脅威に対するセキュリティ運用は、現代社会において事業継続の必須条件です。
所属されている企業や組織でも、少なからずセキュリティ運用が施されているのではないでしょうか。
しかし、重要な要素として挙げられる「ログの収集と分析」には、多くの壁が存在しているように感じています。
セキュリティ部門の一員として携わる中で、お客様からは次のような悩みをよく耳にします。

よくある顧客の課題「ログはとってる。けど、活かせていない」

• ログは各システムやクラウドサービスから取得しているが、保管場所がバラバラで探すだけで時間がかかる。
• ログを一か所に集約はしているが、ただ置いてあるだけで活用できていない。
• インシデント発生時、大量のログから必要なログを探して手作業で確認。
• 複数のログを横断的に分析できる知見やスキルのある人材がいない。
• そもそも、どのシステムでどこにどんなログがどのように記録されているか分からない。

こうした声はセキュリティ運用を行う企業であれば多くが直面する共通課題ではないでしょうか。

解決策としてのGoogle SecOps

Google が提供するGoogle SecOps は、「ログはとってる。けど、活かせていない」課題に対する解決策として、非常に有効なアプローチを提供します。

• Google SecOpsで実現できること
  -　様々なログソースから発生するセキュリティログを共通の形式に変換して管理。
  -　超高速の検索機能を保有しており、大量ログも数秒で横断検索が可能。
  -　調査セキュリティスキルが高くない運用者でも、GUIベースのインシデント調査画面から直感的にログの関連性を追跡可能。
  -　アラート検知後の自動調査・対応プロセスも構築可能。
  -　Googleが収集している脅威情報との照合により、未知の攻撃やゼロデイの兆候も検知可能。

こうしたアプローチを行うことで「ログの収集と分析」は「できないから無理」ではなくなります。
これまで「人手が足りない」「スキルがない」と諦められる傾向が強い、横断的なログ解析やインシデント調査ですが、Google SecOpsを導入することで、 “「ログ活用」の壁”を大きく乗り越えることが可能です。
今回はそんな GoogleSecOpsについて、説明していきたいと思います。

GoogleSecOpsとは？

GoogleSecOpsとは？（旧Google Chronicle）

GoogleSecOps（Google Security Operations）は、Googleが提供するセキュリティソリューションサービスです。
GoogleSecOpsは、SIEM（Security Information and Event Management）とSOAR（Security Orchestration, Automation, and Response）を統合し、セキュリティ運用のためのログの収集、分析、脅威検知、インシデント対応を一元的に管理するための一連のツールとプロセスを提供します。
また、Google Cloudのインフラストラクチャを活用した拡張性、AIや機械学習を駆使した脅威のリアルタイム検出能力、そしてセキュリティの運用における自動化が企業のセキュリティ運用を効率的に強化します。 Googleの高度な技術を活用し、機械学習や自動化を取り入れた先進的なセキュリティアプローチを実現しています。

以上を踏まえ、Google SecOpsの代表的な要素は以下の3つです。

＜補足＞
Google SecOpsは、元々Google Chronicleという単一のサービスとして機能していました。
Google Chronicleを基盤としてアップデートを行い、GoogleSecOpsとしてリブランド、Google Cloudに統合されています。

詳細なGoogle SecOpsのルーツは以下のサイトが参考になるかと思いますのでご確認ください。
Chronicle Security Operations 統合プラットフォームのご紹介 | Google Cloud 公式ブログ

そのため、Google Chronicleに携わっていた方の中にはそのまま"Chronicle"と呼称されている方もいらっしゃいます。
また、公式サイトやドキュメント、Google SecOpsの操作画面でGoogle Chronicleと表記されている場合がありますが、いずれもGoogle SecOpsと読み替えて問題ありません。

Google SecOpsの全体像

GoogleSecOpsは、企業のセキュリティ運用を効率化し、脅威を迅速に検出・対応するために利用されます。

特長①：クラウド環境に最適化されたセキュリティ管理
GoogleSecOpsはGoogle Cloud Platform（GCP）に特化して設計されています。オンプレミス機器や他のクラウドサービスにも対応していますが、本来のパフォーマンスや統合性はGCP環境で最大化されます。GCP上の各種サービスやインフラとシームレスに連携し、クラウドネイティブな環境においても高度なセキュリティ監視と対応を実現します。ログ収集から分析、アクションの自動実行までを一貫して行うことができます。

特長②：AIと機械学習によるリアルタイム脅威検知
GoogleSecOpsは、GoogleのAI技術を活用して、異常な振る舞いやサイバー攻撃の兆候をリアルタイムで検出します。これにより、セキュリティチームはインシデント発生前に先手を打った対応が可能となり、被害の最小化につながります。

特長③：脅威インテリジェンスと自動化対応
最新の脅威動向に基づいた「脅威インテリジェンス」を活用できます。Googleが保有する世界的な脅威データをもとに、予測的な防御が可能になります。
また、SOAR機能により、脅威検出後の対応手順が自動化されます。セキュリティ担当者の負担を軽減し業務のスピードと精度の両立が可能です。

まとめ

「Google SecOpsとは 前編」ではGoogle SecOpsの利用シーンやサービスの全体像をご理解いただけるよう意識しました。
「Google SecOpsとは 後編」では具体的な機能や要素の紹介、動作イメージを元により詳細な説明を行い、Google SecOpsがどのようなサービスであるかイメージを持てるよう、具体的な特徴や考慮ポイントをご紹介したいと思います。