Googleが賭ける「エージェント型防御」戦略、攻撃者の先を行けるか

Googleは今年初めに320億ドル規模のWiz買収を完了させ、インテリジェントなセキュリティエージェントを中核に据えた新たな「エージェント型防御(agentic defense)」プラットフォームによって、脅威の検知・調査・修復を自動化するという計画を実行に移しています。

2020年に設立されたWizは、マルチクラウド環境全体でクラウド資産、ID、脆弱性、露出をグラフベースの分析で関連付ける手法を打ち出し、急成長を遂げたクラウドセキュリティ企業の一つです。今回の買収により、Googleは既存のAI・脅威インテリジェンス・インシデント対応機能を補完する、クラウドネイティブなセキュリティプラットフォームを手に入れたことになります。

Googleは、攻撃者がすでにAIを使って攻撃を急速に加速させている現状に対応するには、人間主導からAI主導のサイバー防御へと転換する必要があると強調し、今回の新プラットフォームを重要な転換点として位置づけています。

機械主導の攻撃のスピードに対抗するには、組織側も火には火をもって戦う必要があると、Google CloudのCOO兼セキュリティ製品担当プレジデントであるFrancis deSouza氏は警告します。同氏はGoogle Cloud傘下の脅威検知部門MandiantによるM-Trends 2026レポートを引用し、初期侵害からアクセス権が別の脅威アクターへ引き渡されるまでの平均時間は、3年前の8時間からわずか22秒にまで短縮していると述べました。

「人間主導の防御がAIおよびエージェント型の攻撃に対して効果を発揮するのは、非常に難しい、ほぼ不可能と言っていいでしょう。AIに対抗するにはAIを使う必要があります」と、deSouza氏はラスベガスで開催された年次カンファレンスGoogle Cloud Nextに先立つ4月のメディア向け説明会で語りました。

J. Gold Associatesの主任アナリストであるJack Gold氏は、誤検知の仕分けといった煩雑な作業の負担を軽減するためにエージェントが必要だと指摘します。

「クラウドインフラに組み込まれたセキュリティベースのAIエージェントは、現実世界でのほぼ瞬時の脅威緩和を守るためにますます展開されるようになるでしょう。また、多くのSOCにおいて、入ってくるデータを確認し、人間の介入が必要かどうかを判断する最前線の役割も担うことになります」とGold氏は述べています。

Googleはすでに、Wiz Defendによる検知結果をGoogle Security OperationsおよびMandiant Threat Defenseに流し込むなど、Wizによる新たな自動化機能を自社のセキュリティ運用スタックに統合しています。

Wiz ASMがGoogle Threat Intelligenceと統合

月曜日、Googleは、Wizの攻撃対象領域管理(ASM)とGoogle Threat Intelligence(TI)を統合したことを明らかにしました。WizがGoogle Cloudからポスチャーおよびワークロードのテレメトリーを取り込むと、Google TIによってリアルタイムで検知結果を強化し、優先順位付けされた露出データを直接SecOpsのプレイブックやケースに反映させます。これにより、SOCチームは別々のツールを切り替えることなく、クラウドネイティブなリスクの調査と対応が可能になります。

これは5月に発表されたAI Threat Defenseをはじめとする自動化機能を土台としており、GeminiとWizのスキャン・シミュレーション・修復機能を組み合わせ、GeminiのAIモデリングプラットフォームや他の最先端モデルの推論能力と、Wizの文脈に基づくリスク優先順位付け機能を組み合わせることで、AIを悪用した脅威に対抗します。Google AI Threat Defenseは、Geminiのコード修復機能とCodeMender、さらにMandiantの専門知識を活用しています。

チップからコード、クラウドまで一貫したセキュリティスタック

deSouza氏は、Googleが競合他社と一線を画すのは、チップからコード、クラウドに至るまでの一貫したスタックを持っている点だと主張します。「自社のAIスタックを持つセキュリティ企業は、われわれだけです」とdeSouza氏は述べました。

さらに同氏は、グローバル規模のGoogle Cloudインフラ、GPUを搭載した自社製プロセッサ、Geminiのモデル群、そして今回のWiz買収によって手に入れたエージェント提供プラットフォームを強調しました。「これにより、チップからモデル、エージェントに至るまで、スタックのあらゆる層にセキュリティを組み込み、それらすべてが連携して機能するようにできます」とdeSouza氏は語りました。

この新たな枠組みの中核をなすのが、Google Security Operations向けの新エージェント群と、新しいWiz AI Application Protection Platform(AI-APP)の組み合わせです。WizはAI-APPを、AI生成コードやそこから生まれるモデル・エージェントから、それらが稼働する複数のクラウドやエッジ環境に至るまで、AIアプリケーションのライフサイクル全体を通じて発見・評価・保護するための統合システムと位置づけています。

さらに、AWS AgentCore、Gemini Enterprise Agent Builder、Azure Copilot Studio、Salesforce Agentforceを含む、DatabricksやAIスタジオへの対応も追加されました。

現在パブリックプレビュー中のWiz AI-APPは、Wizプラットフォームの3つのコンポーネントを土台としています。開発中のコードを保護するWiz Code、アプリケーションをホストするクラウドプラットフォームを保護するWiz Cloud、そしてリアルタイム監視を提供するWiz Defendです。

Wizの共同創業者で現在Google CloudのプロダクトVPを務めるYinon Costica氏は、AI-APPはセキュリティチームがAIを活用して環境全体を保護できるようにするために設計されたものだと説明します。「われわれは今、AIを適用することでAIを活用した高速化を後押しできるツールを、セキュリティチームに提供しています」とCostica氏はメディア向け説明会で述べました。

またGoogleは最近、LangChainなどのAIフレームワークや、Google Gemini Code Assist、GitHub Copilot、Cursorといった開発ツール向けのモデル・拡張機能の目録を自動生成するWiz AI-BOMツールも展開しました。AI-BOMは、SBOM(ソフトウェア部品表)の概念をAIの世界にそのまま拡張したものです。

セキュリティ運用フレームワーク

一方、Chronicle SIEMとSiemplify SOARを統合したGoogleのSecurity Operationsプラットフォームは、現在AIエージェントと統合フレームワークを用いて、AIアプリケーションとマルチクラウドインフラを保護しています。

組織がビジネスワークフローにエージェントを組み込み続ける一方で、脅威アクターもエージェントを使って従来のサイバーセキュリティ防御をすり抜けようとする中、GoogleはSecOpsプラットフォームがエージェントとAIアプリケーションを企業の攻撃対象領域の中核として扱っていると述べています。

昨年発表されたGoogle初のセキュリティ運用エージェント「Triage and Investigations」は、これまでに500万件を超えるアラートをトリアージし、通常30分かかっていた手作業の分析時間を約1分にまで短縮したとdeSouza氏は述べました。また、Googleは脅威ハンティングと検知エンジニアリング向けの新エージェント(いずれもプレビュー中)、さらにプレビュー入りが予定されているサードパーティコンテキストエージェントも発表しました。

誤検知として扱われる脅威の件数を減らすため、Googleは「Dark Web Intelligence」と呼ばれる新しいGoogle Threat Intelligence機能をリリースしました。現在はパブリックプレビュー中で、Geminiを使ってダークウェブ上の「数百万件」もの活動を毎日分析し、ビジネス運用の観点から関連性のあるものだけを抽出します。deSouza氏によると、Dark Web Intelligenceの精度は98%に達するといいます。

競争の激しい市場における野心的なビジョン

Wizへの巨額投資と、広範なAI・クラウド資産を土台にした野心的な「エージェント型防御」構想にもかかわらず、Googleはエンタープライズ市場に深く根を張る強力な競合他社に挑むことになります。CrowdStrike、Palo Alto Networks、Microsoftといった競合プラットフォームベンダーは、成熟したセキュリティ運用製品やCNAPP(クラウドネイティブアプリケーション保護プラットフォーム)スタックに、AIベースの脅威検知・修復機能を次々と追加しています。

それでもGold氏は、Google Cloudが広範なセキュリティ自動化スタックを構築したと評価します。「GoogleはAIエージェントを軸にした印象的なセキュリティ製品群をまとめ上げましたが、それだけでなくMandiant[のコンサルティングおよびインシデント対応サービス]の能力を通じて、かなり高度な調査・修復も行えます」と同氏は述べます。「Wizによって、自社クラウドに限らず、ほぼあらゆるクラウドをエージェントレスで監視できるようになりました」

「エージェント型SOC」への移行を打ち出す主要ベンダーとして、Googleは、CrowdStrikeのエージェント型MDR、Palo Alto Networksが今年初めに発表したCortex Agentix、そしてSentinelOneが最近発表した、完全にエージェントベースのSOCアナリストと位置づけられるPurple AIなどと肩を並べています。

Googleが自律型防御へと舵を切ったことは、攻撃が加速する中でセキュリティチームのあり方をどう捉えるかについて、より広範な転換が起きていることを示しています。Wizのグラフ技術をGeminiやMandiantと、チップからクラウドまでを貫く自社スタックに結び付けることで、Googleは自己統治型のシステムが不可欠な存在となり、今後のSOCが人間よりもはるかに速く行動できるAIに依存するようになると賭けているのです。

翻訳元: https://www.darkreading.com/cloud-security/google-bets-agentic-defense-strategy-outpace-attackers

ソース: darkreading.com