Google SecOpsとは　後編

皆様こんにちは。TIS株式会社の岩瀬です。セキュリティを軸に、企業のデジタル変革を支援しています。
前編では、Google SecOpsの利用シーンと全体像をご紹介しました。
本編では、主要機能や構成要素、動作イメージを取り上げ、Google SecOpsの具体像を解説できればと思います。

はじめに

Google SecOpsの動作イメージ

GoogleSecOpsの大まかな動作として、「ログの収集」「ログの分析と異常検知」「対応の自動化と管理」の3つが挙げられます。

本編では3つのポイントに焦点を当てて、紹介いたします。
「ログの収集」「ログの分析と異常検知」「対応の自動化と管理」のポイントがあること、左から右に向けた動作を行うことをイメージいただくと理解しやすいと思います。

GoogleSecOpsの構成イメージ

Google SecOpsの構成は大きくSIEM、SOAR、AIに分かれています。概要は以下の通りです。

◆SIEM
GoogleSecOpsのSIEM機能は、ログの収集、正規化、分析を行います。

• ログ収集: フォワーダー、フィードなど多様な方法でログを取り込み正規化を行います。
• ログ分析: 統合データモデル（UDM）を使用して、イベントやアラートを検索・分析できます。
• ログ検知 受信したログを分析し、脅威の可能性や既知の脅威が検出された場合に通知するルールを指定できます。

これにより、ルールに沿ったアラート検知やセキュリティチームは過去のデータを遡って調査し、迅速な対応が可能となります。

◆SOAR
GoogleSecOpsのSOAR機能は、セキュリティワークフローの自動化、対応時間の短縮、セキュリティ運用の精度向上を支援します。

• 運用自動化: アラート検知時のイベント管理やインシデント対応の自動化を行うことができます。
• 統合開発環境（IDE）: 既存のPlaybookアクションの変更や強化、新しいアクションの構築が可能です。(例：Playbookにメールの送信機能を追加する。)

これにより、セキュリティチームは手動プロセスを減らすことが可能となります。

◆AI / 機械学習
AIは脅威検出や調査に組み込まれており、SIEM/SOARの機能を強化しています。

• 最新の脅威検出: 専門家による検出機能で最新の脅威を迅速に発見。
• Gemini in Security Operations: 自然言語による検索・調査・対応提案でアナリストの生産性を向上。
• 自動解析: ログファイルを即時に解析し、必要なコンテキストを提示。

これにより、従来よりも迅速かつ効率的な対応が可能となります。

主要な構成要素の紹介

ログの収集

＜Data Feed＞
Data Feedは、Google SecOpsにログデータを取り込むための方法の一つです。
データフィードを使用して、Google Cloud Storage、Amazon S3、サードパーティAPIなどの外部ソースからデータを取り込むことができます。
Google SecOpsから対象のログを取得(GET)する動きが特徴です。
ログの保管場所がData Feedでサポートされている必要がある、かつログ取得間隔が10-15分周期のためリアルタイムなログ収集には向かないといったデメリットはありますが、ユーザ側でサーバを持つ必要がないこと、Google SecOps上の設定のみでログ収集が開始できることというメリットがあります。

＜Forwarder＞
Forwarderは、 Google SecOpsにログデータを取り込むための方法の一つです。
Windows/Linuxサーバー上のDockerコンテナを使用してデプロイし、Google SecOpsへのログ転送を行います。
受信したログデータをGoogle SecOpsに転送する動きになるため、リアルタイムなログ収集が可能となります。

＜BindPlane＞
BindPlaneは、 Google SecOpsにログデータを取り込むための方法の一つです。
様々なソースからログを収集し、Google SecOpsに送信するネットワークハブのような役割を担います。
Forwarderが小~中規模環境向けのサービスに対して、BindPlaneは大規模環境向けのサービスとなり、サーバー数が多い、多様なログソース（OS、アプリ、FW、DBなど）がある場合、推奨されるサービスとなります。ログを転送するだけではなく、Google SecOpsへ送信する前にBindPlane側でデータ加工を行うなど様々な機能を有したサービスとなります。
詳細は以下リンクにて確認してください。
https://docs.cloud.google.com/chronicle/docs/ingestion/use-bindplane-agent?hl=ja

補足：Forwarder、Bindplaneは、Google SecOpsの機能ではありますが、実態は物理サーバ上で動作します。オンプレ環境はもちろんのこと、他クラウド(AWS等)のサーバで動くサービスです。

＜Direct Ingestion＞
Direct Ingestionは、Google SecOpsにログデータを取り込むための方法の一つです。
Google Cloud上のセキュリティデータを直接Google SecOpsに取り込むための機能となります。
Google Cloud上のログはDirect Ingestionにより、容易にログの取り込みが可能となりますので、特別な要件がない限りこちらの手法を推奨します。

＜取り込みAPI＞
取り込みAPIは、Google SecOpsにログデータを取り込むための方法の一つです。
独自に作成したカスタムスクリプトを用いてログを収集します。
主にGoogleがパーサーを用意できていない製品、もしくは製品仕様上API連携が必要な製品の場合に利用します。
個別のカスタムスクリプトを作成する必要があるため、他の取り込み方法が利用できる場合は、そちらの利用を推奨します。

＜パーサー＞
パーサーは、取り込まれた生ログをUDMに変換するためのコンポーネントです。これにより、統一されたデータモデル(UDM)での分析が可能になります。
Googleで標準化されていないパーサーは、カスタムパーサーとして自身で作成することができます。

ログ分析と異常検知

＜ログ蓄積と検索＞
ログは"UDM"と"RAW"の2つの形式で保存されます。

• UDM：パーサーにより正規化された形式のログを指します。Google SecOpsの標準データ構造で、異なるベンダーからのログを同じログ形式で保存します。
• RAW：生ログを指します。Google SecOpsでは、元の形式でログデータを保存し、必要に応じてUDMに変換します。

ログの蓄積量の制限はありません。（ただし、契約時に年単位でログ保存量を指定します。指定したログ保存量を超過する場合は追加料金が発生します。）

＜検知ルールとログの分析/検知＞
Google SecOpsの脅威検出は大きくマネージドルールとカスタムルールの2種類を活用します。
マネージドルール：Google社で用意されている検知ルールです。ログを取り込むだけでマネージドルールが適応されます。
- IoC マッチ：既知の悪意のあるドメイン、IP アドレス、ファイル ハッシュ、URL に一致する IoC を検出します。公式リンクは以下です。
https://docs.cloud.google.com/chronicle/docs/investigation/alerts-iocs?utm_source=chatgpt.com&hl=ja#view_ioc_matches
- キュレーテッド検出：Google Threat Intelligence（GCTI）チームにより事前定義されたルールによる脅威分析を提供します。公式リンクは以下です。
https://docs.cloud.google.com/chronicle/docs/detection/use-curated-detections?utm_source=chatgpt.com&hl=ja

カスタムルール：ユーザ独自で作成する検知ルールです。会社独自のセキュリティルールに則ったイベントを検知する場合などに利用します。
カスタムルールはYARA-L 2.0言語を利用して作成します。
YARA-L 2.0言語の説明やサンプルは以下の公式リンクで公表されています。
https://docs.cloud.google.com/chronicle/docs/detection/yara-l-2-0-overview?hl=ja

検出されたイベントは後述の"ケース管理"として起票/リスト化されます。

対応の自動化と管理

＜ケース管理＞
関連するアラートをグループ化し、インシデントとして管理するための機能です。ケース管理ツールを使用して、アラートの優先順位付けや詳細な調査を行います。

＜Playbook＞
インシデント対応の自動化を実現するためのツールです。事前定義されたアクションを設定し、インシデント発生時に自動的に実行されます。
Playbookにより、「○○というイベントが発生したら、指定したメールアドレス宛に検知メールを送信する」といったインシデント対応を自動化することができます。

まとめ

「Google SecOpsとは 前編」ではGoogle SecOpsの利用シーンやサービスの全体像、「Google SecOpsとは 後編」では動作イメージと主要な構成要素を紹介しました。
最後まで読んでいただき、誠にありがとうございました。
Google SecOpsとはどのようなサービスであるか、なんとなくイメージいただくことができたのであれば幸いです。

「Google SecOpsとは」という概念的なテーマで紹介したこともあり、これを読んでGoogle SecOpsが利用できるようになるとは思っていません。
各種機能ごとの詳細な設定方法や動作については別途ご案内できればと思います。

最後になりますが、GoogleSecOps導入を検討されている方や関心のある方に向けて、弊社では以下のサービス記事を用意しています。
Google Security Operations 活用支援サービス

Google Cloudの関連サービスについても取り扱いがございますので、ぜひご覧ください。
Google Cloud関連サービス

著者

ＩＴ基盤技術事業本部　IT基盤サービス事業部　セキュリティーソリューション部　岩瀬 優太