Googleは「AIで高速化するサイバー攻撃にAIで対抗する」として、Google Security Operationsに組み込むエージェント群を発表しました。企業のセキュリティ監視や調査を支援するGoogle Security Operationsが、Google AI Threat Defenseと連携し、脅威の検知や調査、封じ込めを自動化するとのことです。
Detecting and containing AI-powered threats with Google Security Operations agents | Google Cloud Blog
https://cloud.google.com/blog/products/identity-security/detecting-and-containing-powered-threats-with-google-security-operations-agents
Fight AI with AI: Google SecOps Detection Engineering Agent – YouTube
システムに脆弱(ぜいじゃく)性が見つかっても、毎回すぐに修正できるとは限りません。一方で攻撃者は、偽メールの作成、攻撃コードの生成、侵入後の通信先の変更といった作業をAIで高速化できます。AIの高性能化に伴い、「脆弱性が公開されてから数時間で攻撃を開始できる」という主張も登場しています。
Googleが引用するMandiantのM-Trends 2026によると、2025年の調査では脆弱性の悪用が侵入経路として6年連続で最多でした。また、攻撃者が脆弱性を悪用するまでの時間も短くなっており、修正前に攻撃される事例もあるとのこと。セキュリティ対策では「脆弱性を直す」だけでなく「直せない間に侵入を見つけて止める」仕組みが必要になります。
AIの脅威に対抗するため、Googleは2026年5月に脆弱性の特定や優先順位付け、修正の支援、継続的な監視を行うAI活用型セキュリティシステム「Google AI Threat Defense」を発表していました。
GoogleがAIを用いた自律型サイバー攻撃対策サービス「Google AI Threat Defense」を発表、脆弱性の修正&監視まで自律的に実行 – GIGAZINE
今回、Google Cloudのセキュリティ運用基盤であるGoogle Security Operationsに対し、AI Threat Defenseの一環として複数の新たなAIエージェントが追加されることが発表されました。
Detection Engineering agentは、未修正の脆弱性や新しい攻撃パターンに合わせて検知ルールを作るエージェントです。Google Threat IntelligenceやMandiantの知見、マルウェア分析、オープンソースの検知ルール、企業内のセキュリティデータなどを使い、企業ごとの環境に合ったルール作成を支援します。記事作成時点ではプレビューとして提供されています。
検知ルールは作るだけでは意味がありません。Detection Engineering agentは合成イベントと呼ばれる疑似的なログを使い、作成したルールが想定通り攻撃を見つけられるかを検証。実際の攻撃が来る前に、どの攻撃なら検知できて、どの攻撃は見落とすのかを確認するとのこと。
Triage and Investigation agentは、検知されたアラートを自律的に調査するエージェントです。エンドポイント、クラウド、ファイアウォール、ID、ネットワーク、独自アプリのログなどを組み合わせ、攻撃の流れを説明できる形にまとめます。Triage and Investigation agentは記事作成時点で一般提供されており、すでに500万件以上のアラートを調査し、通常30分かかる手動分析をGeminiにより60秒に短縮したとのこと。
攻撃を見つけた後の対応を支援する仕組みがAgentic automationです。AIエージェントによる証拠収集や判断支援と、企業があらかじめ決めたプレイブックを組み合わせる機能で、記事作成時点ではプレビューとして提供されています。重要な操作ではアナリストが制御を維持しながら、封じ込めや修復の流れを自動化できると説明されています。
Threat Hunting agentは、通常のアラートをすり抜けた攻撃を過去ログから探すエージェントです。記事作成時点ではプレビューとして提供されています。ゼロデイ攻撃や目立たない侵入については、ファイル名やIPアドレスといった固定的な目印だけでは見つからない場合がありますが、Threat Hunting agentであれば履歴ログを含む大規模な企業テレメトリを調べ、不自然な挙動や新しい攻撃パターンを探すことが可能です。
Googleは新たなAIエージェントを活用した例として、JavaScript向けパッケージ管理エコシステムで広く使われるAxios npmパッケージを狙ったサプライチェーン攻撃の監査を挙げています。Detection Engineering agentに攻撃キャンペーンの情報を与えたところ、攻撃の中間段階は検知できる一方、最初のnpm postinstallドロッパーと最後のC2通信は見落としていたことが分かったとのこと。Detection Engineering agentは見落としを明らかにしたうえで、Google Security Operationsで使うYARA-Lルールの作成を支援しました。
AIによって攻撃者の手数が増えるなら、防御側もAIを使って検知ルールを書き、アラートを読み解き、過去ログを掘り返す必要があります。GoogleはGoogle AI Threat DefenseとGoogle Security Operationsを組み合わせることで、自動化された攻撃者を上回る防御を継続的に提供できると述べています。
この記事のタイトルとURLをコピーする
ソース元はコチラ
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。