脅威インテリジェンスツール VirusTotal が「Google Threat Intelligence」として生まれ変わります

Google の脅威インテリジェンスツール 「VirusTotal Enterprise」は、「Mandiant Threat Intelligence」との統合により、新たな製品「Google Threat Intelligence」としてリニューアルされます。

Mandiant の最前線のインテリジェンス、Google による洞察、VirusTotal のテレメトリプラットフォームを組み合わせることで、ユーザーに多様かつ詳細な情報を提供します。

Googleのセキュリティブランドを結集し、革新的な新たなサービスを提供します

本ページでは そんな 2024年7月リリース予定の Google Threat Intelligence について、ご紹介します。セキュリティ脅威に対する高度な対策ツールを必要とされている企業や機関の担当者様に、是非ご参照いただければと思います。

※本ページの内容は、以下の Google Cloud 社の記事や提供資料を参照元としております

Google Cloud Blog

Introducing Google Threat Intelligence: Actionable threat intelligence at Goo...

https://cloud.google.com/blog/products/identity-security/introducing-google-threat-intelligence-actionable-threat-intelligence-at-google-scale-at-rsa?hl=en

Google Cloud

Google Threat Intelligence - 攻撃者を把握

https://cloud.google.com/security/products/threat-intelligence?hl=ja

Google Threat Intelligence: 最前線の状況、Google のインテリジェンス アナリスト の知見、OSINT、Google が提供する脅威に関する分析情報をまとめたサイバ...

Google Threat Intelligenceとは

Google Threat Intelligenceは、1. Mandiant が持つ最前線の専門知識、2. VirusTotal コミュニティが持つグローバルなリーチ、そして 3. Google だからこそ提供できるデバイスや電子メールにわたる何十億ものシグナルに基づく可視性の広さ、を組み合わせた新しいサービスです 。

Google Threat Intelligenceには、脅威インテリジェンスの膨大なレポジトリを横断する会話型検索を提供するAIを搭載したエージェント「Gemini in Threat Intelligence」が含まれており、これを活用することでユーザーは従来よりも迅速に洞察を得て、脅威から身を守ることができます。

脅威インテリジェンス・ソリューションの長年に渡っての課題である「脅威の状況を包括的に把握できないこと」そして「インテリジェンスから価値を得るためには、データを収集し運用化するために余分な時間、エネルギー、コストをかけなければならない」という2つの課題を、Google Threat Intelligence により解決することが可能となります。

ビジネスにおける Google Threat Intelligence 導入の利点

リソース配分の最適化

リスク分析結果に基づいて新たな脅威を監視・軽減し、セキュリティリソースの最適な配分を実現します

脅威対応の加速化

自動分析とコンテキスト化されたデータにより調査を効率化、対応時間を短縮します

脅威インテリジェンスの専門家による支援

Mandiantのエキスパートの活用：アナリストが最先端の知見で調査を強化します

生産性の向上

AI分析支援と完全なコンテキスト可視化により、アラート対応を加速します

セキュリティソリューションとのシームレスな統合

戦略的かつ実践的なインテリジェンス運用を実現させるサードパーティとの統合のためのPremium Threat Intel APIを提供します

ポイント 1 :
グローバルな脅威の状況について比類のない可視性を提供

Google Threat Intelligenceは、以下のような包括的なビューにより、外部脅威のモニタリング、アタックサーフェス管理、デジタルリスク保護、侵害指標 (IoC)分析、専門知識など、さまざまな方法で組織の保護を支援します。

Googleの脅威に関する洞察

Googleは、40億台のデバイスと15億のメールアカウントを保護し、1日あたり1億件ものフィッシングをブロックしています。

これにより、膨大な数のセンサーと、インターネットや電子メールを媒介とする脅威に関する独自の視点を得ることができ、攻撃キャンペーンとの関連付けを行うことができます。

Mandiant による最前線のインテリジェンス

Mandiantの優秀なインシデント・レスポンダー、セキュリティコンサルタント、インテリジェンスオペレーションアナリストは、攻撃者の戦術やテクニックを分析し、その経験を活かして、年間1,100件以上の調査で世界中の極めて複雑で執拗な脅威からお客様を守り、15年以上にわたるフロントラインインテリジェンスの蓄積を実現しています。

人の手によりキュレーションされた脅威インテリジェンス

Mandiantのグローバルな脅威エキスパートが、脅威アクターグループの活動や行動の変化を綿密に監視し、現在進行中の調査に関連付け、対応に必要な洞察を提供します。

クラウドソースによる脅威インテリジェンス

VirusTotalの100万人以上のユーザーからなるグローバルコミュニティは、ファイルやURLなどの潜在的な脅威インジケータを継続的に提供し、新たな攻撃に対するリアルタイムな洞察を提供します。

オープンソースの脅威インテリジェンス

オープンソースの脅威インテリジェンスを使用し、セキュリティコミュニティからの最新の発見でナレッジベースを充実させています。

ポイント 2 :
AI [Gemini] による脅威インテリジェンス運用と支援

Google Threat Intelligenceには Google のAI である Gemini (1.5 Pro)が搭載されています。Geminiと脅威ランドスケープに関する包括的なビューを組み合わせることで、脅威の調査プロセス および 防御能力を強化し、新しい脅威の特定と防御にかかる時間を短縮することが可能になります。

ユーザーは、大規模なデータセットを数秒で凝縮し、疑わしいファイルを迅速に分析し、困難な手作業の脅威インテリジェンスタスクを簡素化することができます。

また Gemini はマルウェアと戦うセキュリティ専門家をより効率的かつ効果的に支援します。 一例として、マルウェア解析技術の1つであるマルウェアのリバースエンジニアリングの技術的で手間のかかるプロセスを劇的に簡素化することができます。
(例 : WannaCryのマルウェアファイルの逆コンパイルされたコード全体を 1回のパスで処理 、34秒で分析、キルスイッチを特定)

なおデータフュージョンとエンリッチメントを自動化するためのGemini駆動型エンティティ抽出ツールも提供しています。このツールは、関連するオープンソースインテリジェンス（OSINT）のために自動的にウェブをクロールし、オンラインの業界脅威レポートを分類することができます。そして、この情報をナレッジコレクションに変換し、動機、標的、戦術、技術、手順（TTP）、アクター、ツールキット、および侵害の指標（IoC）から引き出される対応するハンティングおよびレスポンスパックを提供します。10年以上にわたる脅威レポートを抽出し、包括的なカスタムサマリーを数秒で作成することができます。

Google Threat Intelligence による 脅威への対応方法の一例

• 新種のマルウェアを配布するフィッシングの詳細と脅威アクターにフォーカスし表示します
• ファイルを分析して、悪意があるかどうか、コードがどのように機能するかを理解します
• 専門家のルール、クラウドソースのルール、または自動生成された検出ルールを使用して、アクティビティを検索します
• 攻撃のナラティブを見て、マルウェアが他のキャンペーンで使用されているかどうか、および観察された動作を確認します
• 自然言語クエリを使用して、MandiantレポートおよびOSINT全体のマルウェアのAIを活用したサマリーを取得します。
• すべてを一元管理するために、追跡する新しいアクターを追加します
• レポートを自動生成し、脅威アクターとその運用で使用される戦術について機械が読み取り可能なインテリジェンスを作成します
• レポートを経営陣とSOCチームにプロアクティブに共有することで、情報を提供し、捜索を開始します

その他、Geminiにより、ユーザー固有のリスクプロファイルに最も関連性の高い脅威を即座に浮き彫りにし、一般的なアラートのノイズを低減します

Google Threat Intelligence ライセンスについて

Google Threat Intelligence は、2024年7月よりサービス提供開始となります。
2024年6月現在、以下 3種類のライセンスラインアップで提供予定となっています。

2025年10月追記 : Google Threat Intelligence には 以下 3種類のライセンス形態がございます

ライセンス形態 

• Google Threat Intelligence Standard
  ※ VirusTotal Basic Bundle に相当

  脅威インテリジェンスを活用してイベントのトリアージと検出を行い、セキュリティ ポスチャーを強化したい組織に適しています

• Google Threat Intelligence Enterprise
  ※ VirusTotal Professional Bundle や Professional Plus Bundle に相当

  脅威インテリジェンスを活用することで、問題の未然防止、組織を標的とする脅威アクターの詳細な把握、効率的なハンティング演習の実施を図ろうとする組織に適しています

• Google Threat Intelligence Enterprise+
  ※ VirusTotal Duet Bundle に相当

  攻撃者を理解して先手を打つための重要なツールとして脅威インテリジェンスを捉えており、強固なサイバー脅威インテリジェンス チームを擁している組織に適しています

• Google Threat Intelligenceは年間ライセンス (サブスクリプション)です。サブスクリプション レベルごとに API 呼び出し数が設定されています
• Google Threat Intelligenceのリリースに伴い、VirusTotal Enterprise は2024年12月末を持って新規ライセンスの提供は終了となります
• 現在 VirusTotal Enterprise をご利用いただいているお客様については2025年まではViruTotal Enterprise を更新いただくことも可能ですが、2026年以降はGoogle Threat Intelligenceへの切り替え (更新)が必要となります

お問い合わせはお気軽に

2024年7月にリリースされる、Google の脅威インテリジェンスツール「Google Threat Intelligence」について、2024年6月時点の情報をご紹介しました。

海外製品調達・コンサルテーションサービス「ユニポス」の VirusTotal Enterprise 紹介ページも、7月の Google Threat Intelligence リリースに合わせてリニューアル予定です。各ライセンスの特徴など、詳細が発表されましたらお知らせいたしますので、ぜひ以下ユニポスのページも併せてご確認ください。

2025年10月追記 : 以下ページにて Google Threat Intelligence (GTI) の詳細情報掲載、および お問い合わせを承っております