製品概要
弊社アンカーテクノロジーズは、Google Cloudのセキュリティ製品・サービス(VirusTotal, Mandiant, Google Threat Intelligence, Google SecOps 等)の正式販売パートナーである、Google Cloud SecOps パートナーです。
Google Cloud 社は、2012年に VirusTotalを、その10年後の2022年には Mandiant を買収し、絶えず同社のセキュリティソリューションを進化させてまいりました。
そして2024年5月、同社は VirusTotal Enterprise と Mandiant Advantage の両製品を統合した Google Threat Intelligence を新たに販売開始しました。
Google Threat Intelligence を支える VirusTotal、Mandiant、Googleのテクノロジーの強みは以下の通りです。
- VirusTotal:毎日200万以上のファイル、600万以上のURLを新たに分析・蓄積し、500億以上のIoCを蓄積する。
- Mandiant:500人以上のセキュリティプロフェッショナルによる、年間1,100件、24万時間以上ものセキュリティ侵害対応で得られた深い洞察を提供する。
- Google:機械学習や生成AIの高い技術を提供し、またGメール・セーフブラウジングなどで高い保護を提供する中で得られた脅威情報を有する。
Google Threat Intelligence は、VirusTotalとMandiantの両製品を統合し、さらにGoogleのデータソースによって性能・機能を強化した製品です。さらにGoogleの機械学習や生成AIの技術により、以下のようなことも可能です。
- 「MFA bypass」といった検索により、関連する各種IoC、Mandiantレポート、Gemini(Googleの生成AI)の出力を得る。
- インターネット上の無数の脅威情報について、日本語で質問して日本語のサマリーを得る。
- マルウェアのコードを即座に解析して、その挙動を理解する。
- 上記サマリーや解析結果をもとに、脅威アクターおよびそのTTPs(Tactics、Techniques、Proceduresの略で、脅威アクターの攻撃パターンや特徴のこと)に関する機械読取可能な検知ルールを作成して、他のソリューション(EDR・SIEMなど)で検査する。
Google Threat Intelligence では、各種分析結果を組み合わせて、危険度のスコアを算出します。
Google Threat Intelligenceではコード解析結果や関連する脅威との関連などと照らし合わせて、危険度を総合的に判定します。これにより、膨大なセキュリティアラートに対しても迅速な対応が可能になります。
セキュリティベンダーでの検出数が0であっても、他の情報などに基づいて高リスクであると判定することが可能になります。
また、Google Threat Intelligenceでは、自然言語用いたセマンティック検索(入力した文章の意味を理解して関連情報を探す検索)にも対応しています。従来のように正確なキーワードや複雑な検索構文を覚える必要はなく、自然な文章で入力するだけで関連性の高い脅威情報を瞬時に検索できます。たとえば、以下のようなクエリを入力すると、文脈を理解した結果が返ってきます。
- 「Malware that executes PowerShell」
- 「Most active threat actors targeting Japan」
- 「Threats against the financial industry in Japan」
検索結果には、関連する脅威の詳細、攻撃者プロファイル、関連するIoC、活動のタイムラインなどがリストアップされ、調査や分析を効率的に進められます。
「Malware that executes PowerShell」と検索した結果。この画面では、Geminiに関する洞察の関連する脅威アクターの一覧を右下の部分で結果として表示しています。
ショートデモ動画
詳細が気になる方は、以下よりご相談いただけます。
ライセンス一覧
Google Threat Intelligenceは、以下の3種類のプランが提供されます。
- Google Threat Intelligence – Standard
- Google Threat Intelligence – Enterprise
- Google Threat Intelligence – Enterprise+
各ライセンスの機能概要は以下の通りです。最新情報にアップデートするよう心がけていますが、予告なく変更になる可能性がございます。最新の詳細情報はこちらでご確認ください。
※機能の一部はVirusTotalと共通です。ウェブインターフェースでの検索、Retrohunt, Livehunt, DIFF, private scanningなどの機能については、VirusTotalのページを参照してください。
| Standard | Enterprise | Enterprise + | |
|---|---|---|---|
| 価格 | ★☆☆☆☆ お問合せください | ★★★☆☆ お問合せください | ★★★★★ お問合せください |
| API上限 (*1) | 5,000/日 | 30,000/日 | 3,000,000/日 |
| ウェブインターフェースでの検索(IoC、レポートなどの検索) | 10,000/月 | 100,000/月 | 100,000/月 |
| 検索クエリやファイル内バイナリによるIoC検索の遡及可能期間 | 過去3ヶ月 | 全期間 | 全期間 |
| ウェブインターフェースでのファイルDL | 1,000/月 | 100,000/月 | 100,000/月 |
| Geminiによる検索・要約・レポート生成 | |||
| Mandiantやサードパーティのセキュリティチームによるインテリジェンスレポート | |||
| Livehunt YARAルール | 25ルール | 100ルール | 20,000ルール |
| YARA Retrohunt | 5回/月 | 25回/月 | 20,000回/月 |
| YARA Retrohuntの遡及可能期間 | 過去3ヶ月 | 過去12ヶ月 | 過去12ヶ月 |
| YARAルール生成(DIFF) | 25回/月 | 100回/月 | 20,000回/月 |
| Categorized Threat Lists【基本分類】 - ランサムウェア - 悪意のあるネットワークインフラ | |||
| Categorized Threat Lists【拡張分類】 - マルウェア - 脅威アクター - 日次トレンド | |||
| Categorized Threat Lists【高度分類】 - iOS/Androidを標的とした脅威 - OS Xを標的とした脅威 - Linuxを標的とした脅威 - IoT機器を標的とした脅威 - フィッシング関連 - クリプトマイニング関連 - 脆弱性の悪用 - 情報窃取型マルウェア - 初期侵入用の添付ファイルやURL経由のファイル | |||
| private scanning(ファイル) (*1) | 100回/月 | 1,000回/月 | |
| private scanning(URL) (*1) | 100回/月 | 1,000回/月 | |
| private Graphの共有(特定ユーザー or 自分のみ) | 20個 | 10,000個 | |
| IoC Collectionの共有(全体 or グループ内 or 自分のみ) | |||
| 検索クエリの共有(全体 or グループ内 or 特定ユーザー or 自分のみ) | |||
| ASMモニタリング対象アセット数 | 25,000 | 500,000 | 5,000,000 |
| アトリビューション機能(関連する脅威アクター・マルウェアファミリー・攻撃キャンペーン、および分析済みインテリジェンスの参照) | |||
| 脅威プロファイル(対象の国・業種等に基づいてプロファイルを作成し、関連性の高い脅威アクター・マルウェアファミリー・攻撃キャンペーンを特定し、詳細情報を提示) | 1,000個 | 1,000個 | |
| 脅威ダッシュボード/リサーチ(マルウェアファミリー・キャンペーン・脅威アクター) | |||
| 脆弱性インテリジェンス(Mandiantが評価したリスク値などを含む) | |||
| テレメトリ(統計・活動状況) | ファイルアップロードに関する生データ(日時・発生国)のみ表示 | ファイルアップロード/検索の国別・日別の統計情報、グラフ表示 【傾向分析が可能】 | ファイルアップロード/検索の国別・日別の統計情報、グラフ表示 【傾向分析が可能】 |
| 情報漏えいやその予兆のモニタリング【基本機能】 - 資格情報(クレデンシャル)の漏洩の監視 - 財務データ、企業機密、顧客情報などの機密情報の漏洩の監視 - 悪意のあるフィッシングドメインの作成の監視 | |||
| 情報漏えいやその予兆のモニタリング【高度機能】 - ディープ/ダークウェブなどの監視 - カスタム条件による 柔軟な監視設定 | |||
| 検索ツール(検索ツール(任意条件を都度指定して横断的に検索) | |||
| Mandiant Academy On-Demand Course の受講権付与 | 1コース/年 | 6コース/年 | 24コース/年 |
| 商用利用 | 専用プランの契約が必要 | 専用プランの契約が必要 | 専用プランの契約が必要 |
| API 制限緩和 | オプション | オプション | オプション |
| private scanning 制限緩和 | オプション | オプション | オプション |
| ASMスキャン対象アセット数 増加 | オプション | オプション | オプション |
| カテゴリ固有フィード(ファイル/URL/ドメイン/IPアドレス/サンドボックス) | オプション | オプション | オプション |
*1 API上限などは、オプションにより増やすことが可能です。
なお、2025年12月に一部機能の上限引き上げがありました。
商用利用の場合は、上記とは異なるプランのご契約が原則必要です。以下の記事をご参考ください。
ライセンス内容についてさらに知りたい方は、お気軽にご相談ください。
VirusTotalとGoogle Threat Intelligence の機能比較
例として、VirusTotal (Basic / Professional) と Google Threat Intelligence Standard の機能比較についてご紹介します。
| VT Basic | VT Professional | GTI Standard | |
|---|---|---|---|
| ウェブインターフェースでの検索(IoC、レポートなどの検索) | 300/月 | 1,000/月 | 10,000/月 |
| ウェブインターフェースでのファイルDL | 300/月 | 1,000/月 | 1,000/月 |
| API制限 | 1,000/日 | 10,000/日 | 5,000/日 |
| Categorized Threat Lists【基本分類】 - ランサムウェア - 悪意のあるネットワークインフラ | |||
| Livehunt YARAルール | 25ルール | 25ルール | 25ルール |
| YARA Retrohunt | 2回/月 | 5回/月 | 5回/月 |
| Retrohuntによる検索可能期間 | 過去3ヶ月 | 過去3ヶ月 | 過去3ヶ月 |
| YARAルール生成(旧VTDIFF) | 5回/月 | 25回/月 | 25回/月 |
| private Graph | オプション | オプション | |
| private scanning(ファイル) | オプション | オプション | |
| private scanning(URL) | オプション | オプション | |
| ASMモニタリング | |||
| デジタルリスクモニタリング(情報漏えいやその予兆のモニタリング) | |||
| Mandiant Academy On-Demand Course の受講権付与 |
Categorized Threat Lists
「Categorized Threat Lists」は、2025年3月に追加された機能で、各IoCに付与された「脅威分類」をキーにして、IoCのリストを一括取得する機能です。参考
Google Threat Intelligenceで収集・分析された膨大なIoC(ファイル、URL、IP アドレス、ドメイン)の中から、指定した「脅威分類」にマッチするIoCのリストを取得することができ、脅威ハンティングに最適です。API実行一回につき最大4,000件のIoCのリストを一括取得し、JSON、CSV、STIX、STIX-Sentinel、MISPのフォーマットで取得することが可能です。また、GTIスコアやアンチウイルスソフトでの検出数などにより、対象IoCの数を絞り込むことも可能です。なお、本機能を用いたAPIリクエストは、API利用上限(クォータ)のカウント対象外となります。
IoCリスト一括取得に使用可能な「脅威分類」は以下のとおりです(分類の種類は、今後も随時追加予定)。
-
- 基本分類:全プラン共通(Standardプラン / Enterpriseプラン / Enterprise+プラン)で利用可能
- ランサムウェア
- 悪意のあるネットワークインフラ
- 拡張分類:Enterpriseプラン / Enterprise+プラン で利用可能
- マルウェア
- 脅威アクター
- 日次トレンド(毎日のルックアップデータと関連性分析に基づく注目IoC)
- 高度分類:Enterprise+プラン で利用可能
- iOS/Androidを標的とした脅威
- OS Xを標的とした脅威
- Linuxを標的とした脅威
- IoT機器を標的とした脅威
- フィッシング関連
- クリプトマイニング関連
- 脆弱性の悪用
- 情報窃取型マルウェア
- 初期侵入用の添付ファイルやURL経由のファイル
- 基本分類:全プラン共通(Standardプラン / Enterpriseプラン / Enterprise+プラン)で利用可能
【例】threat_list_id=trending(高度分類「日次トレンド」)に対して、「query=gti_score:10+ positives:10+」を指定して実行した結果(GTIスコア10以上かつ検知数10件以上のトレンド中のIoC情報を取得しています)。 なお、limitの値を指定しない場合は、デフォルトで2,000件出力されますが、実際の出力件数はクエリ条件に一致するIoCの件数に依存します。
最新AIモデル Gemini 1.5 Pro による、脅威インテリジェンス運用効率化
従来、脅威インテリジェンスを運用するための従来のアプローチには多くの手間がかかり、多くの組織にとって課題になっていました。Google Threat Intelligence が搭載するGoogleの最新AIモデル Gemini 1.5 Pro が、この課題の解決の糸口になります。
Google Threat Intelligence は、インターネット上の大量の情報を自動的に収集〜整理・分類まで行い、スレットアクター・TTPs・ツールキット・各種IoC等に関連する情報を提供します。さらに、組織がセキュリティ対策を効率的に行うための具体的なアクションプランを提供します。
キーワード検索をすると、関連するIoCを結果として表示するのみならず、Googleのセキュリティチームによる洞察の要約や各種キュレーションレポートが表示されます。
関心のある事柄や脅威などについて自然言語で検索すると、自然言語による要約と、関連するMandiantによるレポート情報などが表示されます。
CVE-2024-3400についての質問例
関連するレポートの表示や、それに含まれるIoCの出力、PDF生成なども可能です。
また、Gemini 1.5 Proは、最大100万トークンをサポートする世界最長のコンテキストウィンドウを提供します。これにより、高度なスキルと多くの時間を必要としていたマルウェアのリバースエンジニアリングプロセスを、簡素化することが可能になります。同社による検証では、WannaCryのマルウェアのコード全体を34秒で分析し、キルスイッチを特定することができました(参考ブログ:From Assistant to Analyst: The Power of Gemini 1.5 Pro for Malware Analysis)。
つまり、従来VirusTotalでゼロ検出であったファイルでも、Google Threat Intelligence によって正確に判定することができる可能性があります。VirusTotalで提供されている生成AIによるコード解析については、弊社ブログをご参照ください。
製品の活用方法
以下は、Google Threat Intelligence の活用方法例です。
- 脆弱性管理
「Vulnerability Intelligence」機能を用いて「CVE-2024-3400」を確認した画面(※本画面は機械翻訳によって日本語訳しています)
- 外部脅威の早期検出
- 脅威インテリジェンスと高度なスレットハンティング
- IOCエンリッチメントとアラート優先順位付けの自動化
導入のご相談は、下記よりお気軽にお問い合わせください。
FAQ
- トライアルは可能ですか?
- Google Threat Intelligenceに適用される利用規約を教えてください。商用利用は可能ですか?
- 各ライセンス(Standard、Enterprise、Enterprise+)と、各オプション(API 制限緩和、private scanning 制限緩和、カテゴリ固有フィード(ファイル/URL/ドメイン/IPアドレス/サンドボックス)など)の価格表はありますか?
- ライセンスで定義されている API、検索、ダウンロードの利用回数は、どのように消費されますか?
- SSOは設定可能ですか?
- MFA(多要素認証)は設定可能ですか?
- ユーザーの追加や権限設定はどのように行いますか?
