製品概要
弊社アンカーテクノロジーズは、Google Cloudのセキュリティ製品・サービス(VirusTotal, Mandiant, Google Threat Intelligence, Google SecOps 等)の正式販売パートナーである、Google Cloud SecOps パートナーです。
Google Cloud 社は、2012年に VirusTotalを、その10年後の2022年には Mandiant を買収し、絶えず同社のセキュリティソリューションを進化させてまいりました。
そして2024年5月6日、サンフランシスコにて開催されている RSA Conference 2024 において、同社は VirusTotal Enterprise と Mandiant Advantage の両製品を統合した Google Threat Intelligence を新たに販売開始することを発表しました。
Google Threat Intelligence を支える VirusTotal、Mandiant、Googleのテクノロジーの強みは以下の通りです。
- VirusTotal:毎日200万以上のファイル、600万以上のURLを新たに分析・蓄積し、500億以上のIoCを蓄積する。
- Mandiant:500人以上のセキュリティプロフェッショナルによる、年間1,100件、24万時間以上ものセキュリティ侵害対応で得られた深い洞察を提供する。
- Google:機械学習や生成AIの高い技術を提供し、またGメール・セーフブラウジングなどで高い保護を提供する中で得られた脅威情報を有する。
Google Threat Intelligence は、VirusTotalとMandiantの両製品を統合し、さらにGoogleのデータソースによって性能・機能を強化した製品です。さらにGoogleの機械学習や生成AIの技術により、以下のようなことも可能です。
- 「MFA bypass」といった検索により、関連する各種IoC、Mandiantレポート、Gemini(Googleの生成AI)の出力を得る。
- インターネット上の無数の脅威情報について、日本語で質問して日本語のサマリーを得る。
- マルウェアのコードを即座に解析して、その挙動を理解する。
- 上記サマリーや解析結果をもとに、脅威アクターおよびそのTTPs(Tactics、Techniques、Proceduresの略で、脅威アクターの攻撃パターンや特徴のこと)に関する機械読取可能な検知ルールを作成して、他のソリューション(EDR・SIEMなど)で検査する。
Google Threat Intelligence では、各種分析結果を組み合わせて、危険度のスコアを算出します。
Google Threat Intelligenceは、外部脅威のモニタリング、アタックサーフェスマネジメント(ASM)、デジタルリスク保護、IoC分析など、さまざまなアプローチで組織のセキュリティ保護を支援します。また、世界中の脅威の全体像理解と、正確かつ豊富な情報により、正しい意思決定が容易になります。
ショートデモ動画
ライセンス一覧
Google Threat Intelligenceは、以下の3種類のプランが提供されます。
- Google Threat Intelligence – Standard
- Google Threat Intelligence – Enterprise
- Google Threat Intelligence – Enterprise+
各ライセンスの機能概要は以下の通りです。最新情報にアップデートするよう心がけていますが、予告なく変更になる可能性がございます。最新の詳細情報はこちらでご確認ください。
また、価格については弊社までお問い合わせください。
Standard | Enterprise | Enterprise + | |
---|---|---|---|
価格 | ★☆☆☆☆ お問合せください | ★★★☆☆ お問合せください | ★★★★★ お問合せください |
対応する Mandiant Advantage Threat Intelligence ライセンスタイプ | ・Security Operations | ・Fusion | ・Fusion |
対応する VirusTotal ライセンスタイプ | ・Basic Bundle | ・Professional Bundle ・Professional+ Bundle | ・Duet Bundle |
ウェブインターフェースでの検索(IoC、レポートなどの検索) | 10,000/月 | 100,000/月 | 100,000/月 |
ウェブインターフェースでのファイルDL | 1,000/月 | 100,000/月 | 100,000/月 |
生成AI(Gemini)による検索&レポート要約 | |||
生成AI(Gemini)による自動レポート生成 | |||
専門家によるインテリジェンスレポートへのアクセス | |||
API制限 | 5,000/日 | 30,000/日 | 500,000/日 |
アトリビューション機能 | |||
カスタム脅威プロファイル | 5プロファイル | 無制限 | |
脅威ダッシュボード/リサーチ(マルウェアファミリー・キャンペーン・脅威アクター) | |||
Livehunt YARAルール(※) | 100ルール | 20,000ルール | |
YARA Retrohunt(※) | 25回/月 | 20,000回/月 | |
Retrohuntによる検索可能期間(※) | 過去12ヶ月 | 過去12ヶ月 | |
YARAルール生成(旧VTDIFF) | 100回/月 | 20,000回/月 | |
private Graph | 20個 | 10,000個 | |
private IoC sharing | |||
private scanning(ファイル) | 100回/月 | 1,000回/月 | |
private scanning(URL) | 100回/月 | 1,000回/月 | |
ASMモニタリング対象アセット数 | 25,000 | 500,000 | 5,000,000 |
ASMスキャン頻度 | 毎週 | 毎日 | 毎日 |
脆弱性インテリジェンス | |||
デジタルリスクモニタリング(情報漏えいやその予兆のモニタリング) | クレデンシャル・悪性ドメイン・情報漏洩のモニタリング | 左記に加えて、ダークウェーブのモニタリング | 左記に加えて、カスタムのモニタリング・検索 |
カテゴリ固有フィード(ファイル/URL/ドメイン/IPアドレス/サンドボックス) | オプション | オプション | オプション |
※ VirusTotal Basic Bundle を元々契約していて、これを Google Threat Intelligence – Standard に移行する場合は、Livehunt と Retrohunt を付与することが可能です。通常は、Livehunt: 25ルール、Retrohunt: 2回/月です。
VirusTotalとGoogle Threat Intelligence の機能比較
例として、VirusTotal Professional bundle と Google Threat Intelligence – Standard の機能比較についてご紹介します。
VT Basic | VT Professional | GTI Standard | |
---|---|---|---|
ウェブインターフェースでの検索(IoC、レポートなどの検索) | 300/月 | 1,000/月 | 10,000/月 |
ウェブインターフェースでのファイルDL | 300/月 | 1,000/月 | 1,000/月 |
生成AI(Gemini)による検索&レポート要約 | |||
生成AI(Gemini)による自動レポート生成 | |||
専門家によるインテリジェンスレポートへのアクセス | |||
API制限 | 1,000/日 | 10,000/日 | 5,000/日 |
アトリビューション機能 | |||
カスタム脅威プロファイル | |||
脅威ダッシュボード/リサーチ(マルウェアファミリー・キャンペーン・脅威アクター) | |||
Livehunt YARAルール(※) | 25ルール | 25ルール | |
YARA Retrohunt(※) | 2回/月 | 5回/月 | |
Retrohuntによる検索可能期間(※) | 過去3ヶ月 | 過去3ヶ月 | |
YARAルール生成(旧VTDIFF) | 5回/月 | 25回/月 | |
private Graph | オプション | オプション | |
private IoC sharing | |||
private scanning(ファイル) | オプション | オプション | |
private scanning(URL) | オプション | オプション | |
ASMモニタリング対象アセット数 | 25,000 | ||
ASMスキャン頻度 | 毎週 | ||
脆弱性インテリジェンス | |||
デジタルリスクモニタリング(情報漏えいやその予兆のモニタリング) | クレデンシャル・悪性ドメイン・情報漏洩のモニタリング | ||
カテゴリ固有フィード(ファイル/URL/ドメイン/IPアドレス/サンドボックス) | オプション | オプション | オプション |
※ VirusTotal Basic Bundle を元々契約していて、これを Google Threat Intelligence – Standard に移行する場合は、Livehunt と Retrohunt を付与することが可能です。通常は、Livehunt: 25ルール、Retrohunt: 2回/月です。
最新AIモデル Gemini 1.5 Pro による、脅威インテリジェンス運用効率化
従来、脅威インテリジェンスを運用するための従来のアプローチには多くの手間がかかり、多くの組織にとって課題になっていました。Google Threat Intelligence が搭載するGoogleの最新AIモデル Gemini 1.5 Pro が、この課題の解決の糸口になります。
Google Threat Intelligence は、インターネット上の大量の情報を自動的に収集〜整理・分類まで行い、スレットアクター・TTPs・ツールキット・各種IoC等に関連する情報を提供します。さらに、組織がセキュリティ対策を効率的に行うための具体的なアクションプランを提供します。
また、Gemini 1.5 Proは、最大100万トークンをサポートする世界最長のコンテキストウィンドウを提供します。これにより、高度なスキルと多くの時間を必要としていたマルウェアのリバースエンジニアリングプロセスを、劇的に簡素化することが可能になります。実際、同社による検証では、WannaCryのマルウェアのコード全体を34秒で分析し、キルスイッチを特定することができました(参考ブログ:From Assistant to Analyst: The Power of Gemini 1.5 Pro for Malware Analysis)。
つまり、従来VirusTotalでゼロ検出であったコードや、IDA Proなどのリバースエンジニアリングツールを使って長い時間分析する必要があったコードでさえも、Google Threat Intelligence にかかれば瞬時に正確に判定することができるようになります。VirusTotalで提供されている生成AIによるコード解析については、弊社ブログ「VirusTotalの「Crowdsourced AI」紹介」をご参照ください。
製品の活用方法
以下は、Google Threat Intelligence の活用方法例です。
- 脆弱性管理
- 外部脅威の早期検出
- 脅威インテリジェンスと高度なスレットハンティング
- IOCエンリッチメントとアラート優先順位付けの自動化