第9回:人間の限界とAI監視
はじめに
お疲れ様です。SKY こと関谷です。
前回の第8回では、データ保護戦略という「最後の砦」について学びました。
Cloud KMS による暗号化で「データそのもの」を守り、VPC Service Controls による境界防御で「データへのアクセス経路」を制御する。この二段構えによって、IAM や組織のポリシーをすり抜けた場合でも、データを守ることができます。
さて、ここまで第1回から第8回にわたって、Google Cloud のセキュアな土台作りについて学んできました。
組織構造の設計、IAM による権限管理、VPC とファイアウォール、Shared VPC、組織のポリシー、ログ管理と監視、そしてデータ保護戦略。
これらすべてが、人間が設計し、人間が運用するセキュリティの仕組みでした。
しかし、現代のサイバー攻撃は日々複雑化し、巧妙化しています。膨大なログの中から異常を見つけ出すこと、未知の脅威に対応すること、これらは人間だけでは限界があります。また、第7回で学んだログ監視も、ルールベースの検知では対応しきれない新しいタイプの攻撃が増えています。
そこで登場するのが、AI を活用した高度なセキュリティです。
この最終回では、「AI 警備と実践シナリオで総仕上げ!」というテーマで、シリーズを総括します。Google Cloud の Security Command Center Premium による AI を使った脅威検知、Google Security Operations による組織全体のセキュリティ運用 、そしてこれまでの全8回で学んだ知識を統合する実践シナリオをお届けします。
いよいよシリーズも最終回です。これまで積み重ねてきた知識を、AI という新しい要素と実践的なシナリオで統合し、Google Cloud のセキュアな土台作りを完成させましょう。
それでは、始めていきます!
ブログシリーズその他の執筆
本編
番外編
第3回では紹介しなかった関連機能の説明です
総まとめ編
9-1. 人間による監視の限界:なぜセキュリティに AI が必要なのか?
ここまでの第1回から第8回で構築してきたセキュリティの土台は強固です。
しかし、これらはすべて人間が設計し、運用する仕組みでした。
昨今の AI の大幅な進化により、その解決策の一つとして、AI活用がされるようになりました。
この節では、人間による監視の限界と、その解決策の一つとして、なぜ AI がセキュリティに必要なのかを理解していきましょう。
膨大なログと人間の処理能力の限界
第7回で、Cloud Logging でログを集約し、Cloud Monitoring でアラートを設定する方法を学びました。
しかし、実際の本番環境では1日に何百万、何千万ものログエントリが生成されます。BigQuery へのクエリ実行ログ、Cloud Storage へのアクセスログ、Compute Engine の VM ログ、IAM の監査ログ、VPC のフローログなど、膨大なログが生成され続けます。
人間がこれらをすべて確認することは物理的に不可能です。
また、セキュリティインシデントは単一のログエントリだけでは異常と判断できないことが多いです。
攻撃者が正当な認証情報を使って少しずつデータを持ち出す場合、個々のアクセスは正常に見えますが、時系列でアクセスパターンを分析すると、通常とは異なる振る舞いが見えてきます。
ルールベース検知の限界
従来のセキュリティ監視は、「もし X という条件が満たされたら、Y というアラートを出す」という明確なルールを定義する「ルールベース」が中心でした。
例えば、「1時間に100回以上ログインに失敗したら、アラートを出す」といったルールです。
しかし、ルールベースには限界があります。未知の脅威には対応できません。
手練れの攻撃者は常に新しい手法を開発しており、これまでに見たことのない攻撃パターンは検知できません。
また、誤検知と見逃しのバランスが難しく、攻撃者はルールを回避する方法を知っています。
巧妙化するサイバー攻撃
現代のサイバー攻撃は、かつてないほど巧妙化しています。
-
標的型攻撃(APT:Advanced Persistent Threat):
特定の組織を長期間にわたって攻撃する手法です。数ヶ月から数年かけて、正常な活動に紛れてゆっくりとデータを収集します。一度の派手な動きではないため、ルールベースの検知では見つけることが困難です。 -
内部脅威(Insider Threat):
第8回8-2で学んだように、正当な権限を持つ内部関係者は正当な認証情報で正当な方法でアクセスするため、従来の検知手法では区別が困難です。 -
サプライチェーン攻撃:
組織が利用しているサードパーティのサービスやソフトウェアを経由して侵入する手法です。オープンソースのライブラリに脆弱性を仕込み、それを使用している多くの組織を一度に攻撃します。
振る舞い検知:AI が可能にする新しいアプローチ
「振る舞い検知(Behavior Detection)」は、「通常の振る舞いと異なる活動を検知する」というアプローチ です。
振る舞い検知では、まず「正常な状態」を AI が学習します。
「このユーザーは通常、平日の9時から18時にアクセスする」「このサービスアカウントは、毎日決まった時間に BigQuery にクエリを実行する」といった正常なパターンを学習し、この正常なパターンから逸脱した活動を異常として検知します。
振る舞い検知の最大の利点は、未知の脅威にも対応できることです。攻撃の具体的な手法が変わっても、「通常とは異なる振る舞い」という観点では検知できます。
また、複数のログエントリにまたがる複雑なパターンも、AI が自動的に関連付けて分析できます。AI は継続的に学習し、検知精度を向上させ続けます。
ルールベース検知とAIベース検知
なぜ今、セキュリティに AI が必要なのか
セキュリティに AI が必要な理由をまとめます。
人間の処理能力の限界を超えるため、膨大なログを AI が自動的に分析し、人間では見つけられない異常を検知 します。
未知の脅威に対応するため、ルールベースでは対応できない新しい攻撃手法も、振る舞い検知によって早期に発見 できます。複雑な攻撃パターンを検知するため、複数のサービスにまたがる巧妙な攻撃も、AI が関連性を見つけて検知できます。継続的な改善を実現するため、AI は新しいパターンを学習し続け、検知精度を自動的に向上させます。
そして、セキュリティチームの負担を軽減するため、AI が優先度の高い脅威を選別し、本当に重要なインシデントに集中できます。
第1回で学んだ「責任共有モデル」を思い出してください。AI を活用したセキュリティは、利用者の責任範囲をより効果的に守るための強力なツールなのです。
9-2. Google Cloud の AI 警備員:「Security Command Center Premium」とは
前節で、人間による監視の限界と AI が必要な理由を理解しました。この節では、Google Cloud における AI 警備員である 「Security Command Center Premium」 について学んでいきます。
Security Command Center の全体像
Security Command Center(SCC) は、Google Cloud 環境全体のセキュリティを管理するための統合プラットフォームです。
セキュリティの「司令塔」として、組織のすべてのプロジェクト、すべてのリソースを横断的に監視し、脅威と脆弱性を一元的に管理 します。
Security Command Center には、Standard(標準) と Premium(プレミアム) の2つのエディションがあります。
-
Standard エディション:
無料で利用でき、基本的なセキュリティ診断機能を提供します。 -
Premium エディション:
機械学習(ML, ML は AI の一分野)を使って異常な 振る舞いを自動的に検知 し、潜在的な脅威を早期に発見してくれるからです。このエディションは有料ですが、AI を活用した高度な脅威検知、脆弱性診断、攻撃経路のシミュレーションなど、エンタープライズレベルのセキュリティ機能を提供します。
Security Command Center の主要な機能
Security Command Center Premium は、大きく分けて4つの主要な機能を提供します。
-
脅威検知(Threat Detection):
リアルタイムでセキュリティの脅威を検知する機能です。不正なログイン試行、マルウェアの実行、データの不正な持ち出しなど、様々な脅威を AI が自動的に検知します。Event Threat Detection、Container Threat Detection、Virtual Machine Threat Detection など、複数の検知エンジンが統合されています。 -
脆弱性診断(Vulnerability Assessment):
Google Cloud 環境に存在する脆弱性を自動的に発見する機能です。Web Security Scanner による Web アプリケーションの脆弱性スキャン、VM の OS やソフトウェアの脆弱性検出、Container の脆弱性スキャンなどを提供します。 -
コンプライアンス監視(Compliance Monitoring):
組織のセキュリティポリシーや業界の規制基準への準拠状況を継続的に監視する機能です。CIS Google Cloud Foundation Benchmark、PCI-DSS、HIPAA などの基準に対する準拠状況を自動的に評価し、レポートを生成します。 -
攻撃経路のシミュレーション(Attack Path Simulation):
攻撃者がどのような経路でリソースに到達できるかをシミュレートする機能です。これにより、潜在的なセキュリティリスクを事前に発見し、対策を講じることができます。
Security Command Center Enterprise:マルチクラウド対応の最上位ティア
2024年3月にGA開始されたSecurity Command Center Enterprise ティアは、Premiumの機能に加え、エンタープライズ向けの高度な機能を提供します。
Enterpriseティアの主な特徴:
-
マルチクラウド対応: 最大の特徴は Google Cloud、AWS、Azureの全環境を一つのダッシュボードで監視 できること。マルチクラウド環境全体のセキュリティ状況を統一的に把握し、クラウドをまたいだ攻撃経路も可視化します。
-
Mandiant Huntの統合: Googleが買収したMandiantの エリートアナリストへのオンデマンドアクセス が含まれます。自動検知では見つけられない高度な脅威を、専門家がプロアクティブに探し出し、社内のセキュリティチームを補強します。
-
ケース管理と修復プレイブック(SOAR機能): SIEMとSOARの機能を統合 し、発見された脅威を自動的に「ケース」として管理。事前定義されたプレイブックに基づき、修復アクションを自動化できます。例:公開されたCloud Storageバケットを自動的にプライベートに変更し、セキュリティチームに通知、Jiraにチケット作成。
-
Google Security Operationsとの統合: Google Security Operations(旧Chronicle)の機能を統合し、クラウドセキュリティの枠を超えて組織全体のセキュリティログやイベントを集約・分析します。
Enterpriseティアは、複数のクラウドプロバイダーを運用し、高度なセキュリティ体制が必要な大規模組織に最適です。
次の図は、Security Command Center の全体アーキテクチャを示しています。
Security Command Center Premium の全体アーキテクチャ
Event Threat Detection:AI による異常検知の実力
Event Threat Detection は、Cloud Audit Logs を機械学習で分析し、異常な振る舞いを自動的に検知します。
検知できる脅威の例:
- 不審なIAM活動: 通常と異なる時間帯や場所からのアクセス、大量の権限変更、サービスアカウントキーの大量作成など
- データ流出の兆候: Cloud Storageから通常と異なる大量のデータダウンロード、BigQueryから大規模なデータエクスポート
- 暗号通貨マイニング: Compute Engineインスタンスでの不審なプロセス実行、異常なCPU使用率
- マルウェア活動: 既知の悪意のあるIPアドレスとの通信、不審なドメインへのDNSクエリ
従来のルールベース検知では、「1時間に100回以上のログイン失敗」といった単純なパターンしか検知できませんでした。しかし、Event Threat Detection の機械学習は、「このユーザーは通常、東京からしかアクセスしないのに、今回はロンドンからアクセスしている」といった文脈を理解して検知します。
Event Threat Detection の動作フロー
Container Threat Detection と VM Threat Detection
Container Threat Detection は、Google Kubernetes Engine(GKE)で実行されているコンテナを監視し、ランタイム時の脅威を検知します。
検知する脅威の例:
- 不審なバイナリの実行(コンテナ内に存在しないはずのツールの実行)
- コンテナ脱出の試み(ホストシステムへの不正アクセス)
- 権限昇格の試み(root権限の不正な取得)
- 既知のマルウェアの実行
VM Threat Detection は、Compute Engine の仮想マシンを監視します。
検知する脅威の例:
- ルートキットの検知(OSレベルでの不正なソフトウェア)
- 不審なネットワーク通信(コマンドアンドコントロールサーバーへの接続)
- 認証情報の窃取試行(パスワードファイルへのアクセス)
- マルウェアやランサムウェアの実行
これらの検知エンジンは、単に「既知のマルウェアのシグネチャ」を探すだけでなく、振る舞いベース で異常を検知します。つまり、未知のマルウェアであっても、不審な動作をしていれば検知できるのです。
攻撃経路シミュレーション:攻撃者視点でのリスク評価
Attack Path Simulation は、攻撃者の視点でシステムを分析し、どのような経路で重要なリソースに到達できるかをシミュレートする機能です。
シミュレーションの例:
- 外部の攻撃者が、公開されたCloud Storageバケットを発見
- バケット内に誤って保存されていたサービスアカウントキーを取得
- そのキーを使ってGCPにアクセス
- 過剰な権限が付与されていたため、機密データを含むBigQueryテーブルにアクセス可能
- データを外部に持ち出し
このシミュレーションにより、実際の攻撃が起こる前に、潜在的なリスクを発見し対策を講じることができます。
攻撃経路シミュレーションの例
Security Command Center の使い方
Security Command Center の基本的な使い方を紹介します。
1. Google Cloud コンソールでSecurity Command Centerを開く
Google Cloud コンソールにログインし、左側のナビゲーションメニューから「Security」→「Security Command Center」を選択します。
2. ダッシュボードで全体状況を確認
ダッシュボードには、組織全体のセキュリティ状態が表示されます。重要度別のFinding数、コンプライアンス準拠状況、最近の脅威などが一目で確認できます。
3. Findings(検出結果)を確認
「Findings」タブをクリックすると、脅威検知、脆弱性、設定ミスなど、すべてのFindingが一覧表示されます。重要度(Critical、High、Medium、Low)でフィルタリングできます。
4. 個別のFindingを調査
Findingをクリックすると、詳細情報が表示されます。何が検知されたか、どのリソースが影響を受けているか、推奨される対策などが含まれます。
5. 推奨対策を実行
多くのFindingには「Remediation(修復)」ボタンがあり、クリックすると自動的に問題を修正できます。
「公開されたCloud Storageバケット」が検知された場合、ボタン一つでバケットを非公開に設定できます。
9-3. Google Security Operations:組織全体のセキュリティ運用プラットフォーム
Security Command Center が GCP 環境のセキュリティを担当するのに対し、Google Security Operations は組織全体(マルチクラウド+オンプレミス)のセキュリティ運用を統合するプラットフォームです。
Google Security Operations とは
Google Security Operations は、旧称 Chronicle(クロニクル)として知られていた、Google が提供する次世代の SIEM(Security Information and Event Management)・SOAR(Security Orchestration, Automation and Response)プラットフォームです。
主な機能:
- SIEM(Detect): マルチクラウド、オンプレミスを含む全環境からログを集約し、AI で脅威を検知
- 調査(Investigate): 検知した脅威を深く調査し、影響範囲を特定
- SOAR(Response): 自動プレイブックでインシデント対応を自動化・迅速化
統合された脅威インテリジェンス
Google Security Operations の強みは、Google Threat Intelligence と深く統合されている点です。これには以下が含まれます。
- Mandiant インテリジェンス: 世界最高レベルのサイバーセキュリティ専門家集団 Mandiant の脅威インテリジェンス。APT(標的型攻撃)グループの TTP(戦術、技術、手順)、最新のマルウェア情報、セクター別の脅威動向など
- VirusTotal: 世界中のマルウェア情報を集約したデータベース。1日に数百万のファイルとURLが分析されています
これらの情報がリアルタイムで統合され、検知精度を大幅に向上させます。例えば、ログに現れた不審な IP アドレスが、Mandiant の脅威インテリジェンスで「既知の APT グループが使用している C&C サーバー」と特定されていれば、即座に高優先度のアラートが発行されます。
Google Security Operations
Security Command Center との違いと連携
ここで「Security Command Center と Google Security Operations は何が違うのか?」という疑問が浮かぶかもしれません。簡単に整理しましょう。
役割の違い
Security Command Center は、主に GCP 環境のセキュリティ状態を可視化・管理 するためのツールです。
以下のような機能に特化しています。
- GCP リソースの設定ミス検知(例:公開されている Cloud Storage バケット)
- GCP 環境への攻撃検知(例:不正な API 呼び出し)
- コンプライアンス状態の確認(例:CIS ベンチマークへの準拠)
一方、Google Security Operations は、組織全体(マルチクラウド+オンプレミス)のセキュリティ情報を統合分析 するプラットフォームです。
- あらゆる環境からログを集約して横断的に分析
- 複雑な攻撃パターンを検知(例:GCP で情報収集→オンプレミスで侵入→AWS で データ窃取)
- 自動対応プレイブックで迅速にインシデント解決
統合による相乗効果
両者は個別に完結するツールではなく、深く統合されています 。
Security Command Center で検知した GCP のセキュリティファインディング(検出結果)は、Google Security Operations に自動的に送られます。そこで他の環境からのログと組み合わせて分析され、「GCP での異常な動きが、実は AWS への攻撃の一部だった」といった複合的な脅威を発見できるのです。
さらに、Google Security Operations の SOAR 機能を使えば、Security Command Center で検知した脅威に対して自動的に対応アクションを実行できます。
- Security Command Center が「公開バケットの作成」を検知
- Google Security Operations がアラートを受信
- 自動プレイブックが起動し、該当バケットのアクセス権限を自動修正
- 担当者にメール通知
このように、GCP 特化型の Security Command Center と 全社横断型の Google Security Operations が連携することで、隙のないセキュリティ運用が実現します。
Google のインフラを活用した圧倒的なスケール
Google Security Operations の最大の特徴は、Google の検索エンジンや Gmail と同じインフラストラクチャ上に構築されている 点です。これにより、従来の SIEM では考えられなかったスケールとスピードを実現しています。
ペタバイト規模のデータをサブセカンドで検索
一般的な SIEM ツールでは、大量のログデータを分析しようとすると、検索に数分から数十分かかることがあります。
しかし Google Security Operations は、ペタバイト規模のログデータを 1 秒未満で検索 できます。
これは Google が検索エンジンで培った技術を応用しているためです。「過去 1 年間のログから、特定の IP アドレスからのアクセスをすべて抽出する」といった複雑な検索も、ほぼ瞬時に完了します。
この高速検索により、セキュリティアナリストは待ち時間なく調査を進められ、インシデント対応のスピードが劇的に向上します。
予測可能なコスト構造
従来の SIEM は「取り込むログの量」に応じて料金が上がるため、コストが予測しにくいという問題がありました。セキュリティチームは「コストを抑えるためにログを減らすか、セキュリティを優先してすべてのログを取り込むか」というジレンマに直面していました。
Google Security Operations は、12 ヶ月分のログ保持が標準で含まれ 、追加コストなしで長期保存が可能です。これにより、コストを気にせず必要なログをすべて集約できます。
AI エージェントによる自動化の未来
2025 年に Google Security Operations は Agentic AI(エージェント型 AI)という画期的な機能を導入しました。これは単なる「AI によるサポート」ではなく、AI が自律的にセキュリティ業務を実行する という次世代の仕組みです。
Gemini in Security Operations
まず基盤となるのが、Google の生成 AI である Gemini の統合です。Gemini は以下のような業務をサポートします。
自然言語での検索:
「昨日の午後、本番環境で管理者権限を使った操作を教えて」と日本語(または英語)で質問すると、Gemini が自動的に適切な検索クエリを生成し、結果を要約して表示します。従来は専門的なクエリ言語(YARA-L)を習得する必要がありましたが、これにより初心者でもすぐに調査を始められます。
脅威検知ルールの自動生成:
「AWS S3 バケットへの大量のデータ転送を検知したい」と指示すると、Gemini が検知ルールを自動的に作成します。従来は 30〜60 分かかっていた作業が数秒で完了するため、セキュリティチームの生産性が劇的に向上します。
プレイブック(対応手順書)の自動作成:
「フィッシングメールを受信したユーザーがいたら、メールを削除してパスワードをリセットして上司に通知する」といった対応手順を自然言語で指示すれば、Gemini が実行可能なプレイブックを生成します。
自律型 AI エージェントの登場
さらに進化した機能が、Alert Investigation Agent(アラート調査エージェント)です。
これは 2025 年にプレビュー公開された革新的な機能で、以下のような作業を 完全に自動で実行 します:
-
アラートの受信:
「特定の VM から不審な外部サーバーへの通信を検知」というアラートが発生 -
自律的な調査:
AI エージェントが自動的に以下を実行- 該当 VM のプロセス実行履歴を確認
- 関連する他のイベントログを横断的に検索
- 外部サーバーの評判情報(脅威インテリジェンス)を照会
- 同様の通信が他の VM でも発生していないか確認
-
判定と推奨:
AI が「これは既知のマルウェアによる通信です。VM を隔離することを推奨します」という判定を提示
この一連の流れは、人間のアナリストの介入なしに数分で完了 します。
従来は経験豊富なアナリストが 30 分〜1 時間かけて行っていた調査作業が自動化されるため、セキュリティチームは本当に重要な意思決定に集中できるようになります。
もちろん、AI の判断内容はすべて透明に記録され、「なぜその判定に至ったか」を後から確認できます。これにより、AI を信頼しつつも、人間が最終的な制御権を保持できる仕組みになっています。
Alert Investigation Agent の動作フロー
誰が使うべきか?
Google Security Operations は、以下のような組織に特に適しています:
-
マルチクラウド環境を運用している企業:
GCP、AWS、Azure を併用している場合、各クラウドのログをバラバラに管理するのは非効率です。Google Security Operations なら、すべてのクラウド環境のログを 1 箇所に集約して分析できます。 -
セキュリティチームのリソースが限られている企業:
AI による自動トリアージや自動対応により、少人数のチームでも高度なセキュリティ運用が可能になります。「アラートの 90% は誤検知だが、すべて手動で確認しなければならない」という問題から解放されます。 -
コンプライアンス要件が厳しい業界:
金融業界や医療業界など、厳格な監査要件がある場合、「誰が、いつ、何をしたか」を長期間保存し、素早く検索できることが重要です。Google Security Operations は 12 ヶ月以上のログ保持が標準で、検索も高速です。 -
既存の SIEM に不満を持っている企業:
「ログの保存量を増やすとコストが跳ね上がる」「検索が遅すぎて調査が進まない」「運用が複雑で専門知識が必要」といった従来の SIEM の問題に悩んでいるなら、Google Security Operations への移行を検討する価値があります。
Security Command Center で GCP 環境の基本的なセキュリティを固めたら、次のステップとして Google Security Operations で組織全体のセキュリティ運用を高度化する、という段階的なアプローチが理想的です。
さらに実効果として、第三者機関による調査にて、Google Security Operations の導入により大幅な ROI 向上とセキュリティ運用の効率化が報告されているとのことです。
9-5.本回まとめ
お疲れ様でした!
この全9回のシリーズを通じて、Google Cloud のセキュリティに関する基本的な部分を包括的に解説しましたが、総括的な記事を書いている中で、実践例だけでなく概要でのまとめも記載しました。
本回と合わせると非常に長文となってしまうため、下記別記事として分割いたしました。
最後にざっくりまとめとしてもお役に立つかと思います。
それでは、次回の執筆もどうかご確認よろしくお願いいたします。
9-6. 参照情報
この本回の執筆にあたり、以下の Google Cloud 公式ドキュメントおよび公式ブログを参照しました。データ保護戦略について、より詳しく学びたい方は、これらの公式情報源をご確認ください。
Security Command Center の概要
Security Command Center overview
Security Command Center service tiers
Introducing Security Command Center Enterprise
Security Command Center の主要機能
Security Health Analytics overview
Event Threat Detection overview
Container Threat Detection overview
VM Threat Detection overview
Attack path simulation
Web Security Scanner overview
Cloud CISO Perspectives: 20 major security announcements from Next '24
Security Command Center のエディション別の機能と使い分け
Use Security Command Center in the Google Cloud console
Investigate threats with curated detections
Introducing curated detections in Chronicle SecOps Suite
Google Security Operations の紹介
Google Security Operations
Google Security Operations - Detect
Google Security Operations - Investigate
Google Security Operations - Response
Google Security Operations documentation
Google SecOps overview
Google Security Operations SIEM overview
Gemini in Google SecOps
Google Unified Security
Introducing Google Security Operations: Intel-driven, AI-powered SecOps
Next '25: Driving secure innovation with AI, Google Unified Security
Introducing AI-powered investigation in Chronicle Security Operations
Introducing Google Threat Intelligence: Actionable threat intelligence at Google scale
Advancing the art of AI-driven security with Google Cloud
Google Cloud security best practices
Modern SecOps: modernizing security operations
Discussion