Google Threat Intelligence の商用利用の可否について

                 
  • 更新日:
    •              
  • 掲載日:
           目次
  1. 利用目的について
    1. 【原則】内部利用が基本(商用利用不可)
    2. 【例外】GTI Integration SKU は商用利用が可能
  2. まとめ

利用目的について

弊社が販売する Google Threat Intelligence について、「商用利用、つまりクライアント向けのサービス提供のための利用が可能か?」という質問をいただく機会が増えているため、本記事でご説明いたします。
※本記事の内容は2025年9月時点での情報に基づきますが、適宜アップデートいたします。ただし、開発・販売元であるGoogle Cloud社の利用規約のアップデートにより内容が整合しない場合がございますので、その場合はお手数ですが弊社営業担当にお知らせください。
※本記事では、Google Cloud社が公開している利用規約の原文を引用しながら解説を行っていますが、あくまでも参考情報であり、公式な解釈や効力についてはGoogle Cloud社が定める原文およびその解釈が優先されます。
※グループ会社のセキュリティ運用のために利用される場合と、特定の1法人に対するサービス提供のために利用される場合については、弊社にお問い合わせください。
※本記事では、Google Threat Intelligence を GTI とも表記します。

まず結論から言うと、弊社製品ページの「ライセンス一覧」に掲載している3プラン(Standard、Enterprise、Enterprise+)は、商用利用にはご利用いただけません。商用利用専用の、Google Threat Intelligence (GTI) Integration SKUsに記載のプラン(GTI-INT-Core、GTI-INT-Advanced、GTI-INT-Custom)のご契約が必要になります。

これについて、順を追ってご説明します。

まず、本製品GTIに適用される利用規約の一覧はこちらでご確認いただけます。具体的には、以下の3つが適用されます。

  1. Google Cloud Terms of Service:Google Cloud Platformの製品・サービス全般(GTIを含む)に適用される利用規約
  2. Google Cloud Acceptable Use Policy:Google Cloud Platformの製品・サービス全般(GTIを含む)における禁止行為を定めた利用規約
  3. SecOps Service Specific Terms:Google SecOpsの製品・サービス全般(GTIを含む)に適用される利用規約

なお、Google Threat Intelligence は Google SecOps の製品・サービス群の一つであり、Google SecOps の製品・サービス群は Google Cloud Platform の製品・サービス群の一つです。

(Google Threat Intelligence ∈ Google SecOps ⊂ Google Cloud Platform の集合関係)

 

【原則】内部利用が基本(商用利用不可)

SecOps Service Specific Terms の「General Service Terms」「Service Terms」「Partner-Specific Terms」「Google Cloud Platform Terms」のうちの2つ目「Service Terms」の 3(a) において、「Platform Security Content」は 「Customer’s Internal Business Purposes(顧客自身の内部業務目的)」 のためにのみ利用可能と定められています。

Customer may access and use GTI as specified in an Order Form and Platform Security Content exclusively for Customer’s Internal Business Purposes.

つまりこの条件の下では、 GTIは原則として外部顧客向けのサービスなどには利用できません。
「Platform Security Content」と「Internal Business Purposes」の正確な定義については、同じく「Service Terms」の 3(k)をご参考ください。以下抜粋を記載します。

“Internal Business Purposes” means protecting Customer’s internal employees, data, systems, networks, applications, users, and processes.

(参考訳)「Internal Business Purposes(内部業務目的)」とは、顧客の社内従業員、データ、システム、ネットワーク、アプリケーション、ユーザー、および業務プロセスを保護することを意味します。

“Platform Security Content” means all content or data the Customer can interact with or retrieve from GTI, including files, URLs, IP addresses, domains, file hashes, commands, network traffic samples, Customer Submitted Content, GTI Widget Data, Google reporting, curated collections (including but not limited to actors, campaigns, malware, vulnerabilities), Google attributions/associations on vulnerability objects, alerts/notifications, deep/dark web data, analyst comments and annotations, YARA signatures, and content/analysis related to tools techniques and procedures (TTPs), or threat profiles and other artifacts that can be malicious and/or represent real attack behavior.

(参考訳)「Platform Security Content」とは、顧客が GTI から操作または取得できるすべてのコンテンツやデータを指し、以下を含みますがこれらに限定されません。

  • ファイル
  • URL
  • IPアドレス
  • ドメイン
  • ファイルハッシュ
  • コマンド
  • ネットワークトラフィックサンプル
  • 顧客が提出したコンテンツ(Customer Submitted Content *1
  • GTIウィジェットデータ(GTI Widget Data *2
  • Googleレポート
  • 精選されたコレクション(攻撃者、キャンペーン、マルウェア、脆弱性などを含むが、これらに限定されない)
  • 脆弱性オブジェクトに対するGoogleの属性情報・関連情報
  • アラートや通知
  • ダークウェブやディープウェブのデータ
  • アナリストによるコメントや注釈
  • YARAシグネチャ
  • TTPs、脅威プロファイル、その他悪意がある可能性のある、または実際の攻撃行動を示す成果物に関連するコンテンツや分析

*1 Customer Submitted Content:顧客がGTIにアップロード・解析させたファイルや関連メタデータのこと。正確には、同じく「Service Terms」の 3(k) に記載の定義を参考してください。
*2 GTI Widget Data:GTIが提供するウィジェットデータおよびそれを基に顧客が生成した派生データのこと。正確には、同じく「Service Terms」の 3(k) に記載の定義を参考してください。

【例外】GTI Integration SKU は商用利用が可能

3(h)(i) では、GTI Integration SKUGoogle Threat Intelligence (GTI) Integration SKUsに記載の製品。GTI-INT-CoreGTI-INT-AdvancedGTI-INT-Custom の3種類)に限り、内部利用目的の制限を超えて「Customer Products」を強化するために利用できると明記されています。

… notwithstanding the internal business purposes requirement … Customer may use Platform Security Content to enhance Customer Products, provided that (a) the Customer Products have material value independent of GTI; and (b) Customer complies with the Agreement.

ここでいう「Customer Products」は、GTI とは独立して価値がある製品やサービス(例:セキュリティサービス、ソフトウェア)であり、GTIのデータを組み込んでクライアントに提供することが可能です。ただし、以下の禁止事項があります。

  • 第三者への GTI アカウントや API キーの共有の禁止(3(h)(ii)(A))
  • AI モデルの学習利用の禁止(3(h)(ii)(B))
  • Google Security Operations / GTI と競合する製品の開発の禁止(3(h)(ii)(C))

なお、GTI-INT-Core と GTI-INT-Advancedにて利用可能な機能は、こちらにも掲載しております。

まとめ

  • 通常の GTI 契約:クライアント向けサービスには利用不可(自社内部利用のみ)。
  • もし「クライアント向けのサービス用途」を希望する場合は、GTI Integration SKUGTI Integration Packageに記載)の契約が必要。

TOP