Google Cloudは、AIによる脅威を継続的に監視し、阻止できるよう設計された自動化セキュリティシステム「Google AI Threat Defense」を発表した。
同セキュリティシステムは、Geminiやその他のフロンティアモデルの推論能力、Wizによるコンテキストに基づくリスクの優先順位付け、GeminiとCodeMenderのコード修復機能、Mandiantの最前線での専門知識を融合。露出(エクスポージャー)を自律的なパッチ作成と優先順位付けに直接結びつけることで、組織が攻撃経路を予防的に予測し、最も重大な脅威に優先順位を付け、検証済みの修正を攻撃者よりも早く展開できるよう支援する。
4つのステップのフレームワーク全体で脆弱性管理を変革するというGoogle独自のアプローチに基づいている。
準備(Prepare): 基盤を強化し、マシンスピードでの優先順位付けと対応に向けたフレームワークを運用可能にスキャンと優先順位付け(Scan and prioritize): 詳細な分析と AI 主導のポスチャ検証を実施修復(Remediate): 脆弱性のパッチ適用を自律的に検証し、加速させるワークフローを実装監視(Monitor): 継続的な検出と、訓練に基づく能動的な対応プレイブックへと移行
準備:マシンスピードでの対応に向けた基盤の強化
より多くの脆弱性が発見され、悪用が加速する中で、最優先すべきは不必要な露出(エクスポージャー)を減らすことで、パッチの適用状況に関わらず、機密アセットにはインターネットから到達できたり、信頼できない経路を通じて公開すべきではない。
目標は、既知の重大な問題を修正するだけでなく、到達可能(リーチャブル)なものを減らし、実際に悪用される可能性のあるものを検証し、新たなリスクの対応が手動のトリアージに依存しないようにすることだ。
組織は、脆弱性にさらされているテクノロジー全体にわたってどれだけ迅速にパッチを適用し、対応できるかを把握する必要がある。CVEの量が増大し、悪用されるまでの期間が短くなる中で、チームには、次の緊急の脆弱性が現れる前に、明確なオーナーシップ、優先順位付け、実行経路が必要。
露出しているアプリケーションやサービス、テクノロジーはすべて、到達可能性、悪用可能性およびビジネスへの影響に基づいて優先順位を付け、適切なオーナーに問題を転送して修復を促すための迅速なプロセスを備えておかなければならない。
組織はAIを使用してすべての脆弱性がコード内に存在するわけではないため、スキャンする必要がある。攻撃経路の多くは、ライブ環境でアプリケーション、API、アイデンティティ、構成、権限、およびビジネスロジックがどのように相互に連携しているかによって生み出されるからである。
従来のアタックサーフェスマネジメントは、何が露出しているかを特定するのに役立つが、現在の組織に必要なのは、すべての露出を継続的に分析し、それが実際に悪用される可能性があるかどうかを判断し、攻撃者によって実行される前に、それが攻撃者に対して何を可能にするのかを理解できるAIペネトレーションテスターである。
同セキュリティシステムは、Wizを通じてこのプロセスを運用している。
スキャンと優先順位付け:詳細な分析、AI主導の敵対的テスト、悪用可能性の検証の実施
戦略的防御には、表面的なチェックからAI主導の深いコード分析へと移行する、環境スキャンの複数のレベルが必要。フロンティアモデルは、複雑なロジックの欠陥、危険な信頼境界、脆弱な依存関係、露出したAPI、および悪用可能な経路につながる、重大度の低い問題の連鎖を明らかにすることができる。
しかし、これらの詳細なスキャンはコストが高く、時間がかかり、すべてのアセットにわたって継続的に実行することは困難なため組織は、インターネットに面したアプリケーション、顧客向けのサービス、機密データのフロー、認証と承認のロジック、特権サービス、およびその他のビジネスに不可欠なシステムにおける詳細なスキャンを優先する必要がある。
サイバーセキュリティのタスクによってモデルのパフォーマンスが異なるため、複数のモデルを使用し、複数回のチェック(マルチパス)を実行することで、カバレッジを向上させられる。
あるモデルはアプリケーションのロジックに強く、他のモデルはクラウドの構成、バイナリ分析、悪用可能性の検証、または修復ガイダンスに強い場合がある。組織はトークンあたりの最適なコストで幅広い脆弱性を見つけるために、複数のモデルを組み合わせて使用しなければならない。
同社のマルチAI戦略により、費用対効果の高いスキャン戦略が作成され、広範かつ継続的なカバレッジには軽量で高速なモデルを使用し、フロンティアモデルは最もリスクの高いアプリケーションや検出結果のために確保する。
Wizを使用するとこれらの優先順位は、露出、脆弱性、アイデンティティ、機密データへのアクセス、ランタイムシグナルなど、実際のリスクコンテキストによって決定される。
同セキュリティシステムは、AIセキュリティエージェントを展開し、深刻な脆弱性を積極的にハンティングできるよう支援することで、このプロセスを運用する。これらのエージェントは、Gemini Enterprise Agent Platform(顧客がCodeMenderをテストするプラットフォーム)を介して、業界をリードする複数のフロンティアモデルを活用し、企業としての厳格なプライバシー、セキュリティ、データガバナンスを犠牲にすることなく、組織がその仕事に最適なモデルを選択できるようにする。
修復:即時の修正による解決の加速
脆弱性を特定した後に目指すべき目標は、修復にかかる時間を数週間から数分へと短縮すること。同セキュリティシステムは、開発チームに実装の重い負担をかけることなく、修正を提供して優先順位を付ける高速で自律的なワークフローを推進することで、そのスピードを実現する。
セキュリティが展開スピードに確実に遅れを取らないようにするため、このプラットフォームは、開発者がビルドを行なう際に、開発者のIDEやCLIで直接、脆弱性の修正をプロアクティブに生成する。
Geminiの推論能力を最大限に活用するCodeMenderは、AntigravityやWizとシームレスに連携し、エンジニアリングチームが脆弱なコードを置き換え、古いコードを最新のメモリセーフな言語に書き直し、ライブラリの依存関係を分析してシームレスなロールアウトを調整できるようにする。それと並行してトリアージを自動化し、アプリケーションやクラウドインフラストラクチャ全体での修復の優先順位を付ける。
パッチが本番環境に適用される前に、プラットフォームは自動的にテストを生成し、すべての修正を検証する。修復が完了すると、ライブラリにはソース管理環境と本番環境の両方でタグ付けされ、完全なエンドツーエンドのトラッキングが提供されるため、組織は、いつどのモデルを使用してどのパッチが生成されたかを確認できる。
全体的なリスク管理の一環として、脆弱なシステムが機密データにアクセスできる場所を把握する必要がある。これらの経路はデータ流出のリスクを高めるためである。データアセット全体の可視性を統合することで、リスクの高いワークロードから到達可能な機密データサービスを特定し、暗号化、ID管理、ネットワーク制御、データ流出の監視などを優先することができる。さらに、ソフトウェア開発ライフサイクルに対する可視性を統合することで、ソフトウェアや構成の変更がどのように展開されているかを制御できるようになる。
最終的に、同社のアプローチは人間の監視下での自律性を提供し、スピードや戦略的コントロールを犠牲にすることなく、チームがセキュリティのバックログを消化し、ソフトウェア開発ライフサイクルを強化可能にする。
監視:マシンスピードでの検出と、訓練に基づく能動的な対応の確立
強固な基盤があっても、真の回復力を実現するには、実行時における絶え間ない警戒が必要。コードレベルのスキャンパイプラインは、展開前に欠陥を捕捉するのには優れているが、アクティブなエクスプロイトをブロックすることはできない。同セキュリティシステムは、運用を手動の監視からマシンスピードの検出およびリアルタイムの防御へとシフトさせる。
露出のサイクルが加速する中、同セキュリティシステムは、Mandiantの最前線の専門知識に基づき、オーナーシップが定義され結果が追跡される一貫した運用フレームワークを確立することで、回復力を構築。自動化された攻撃者に対する積極的な防御をサポートするため、自律型エージェントを活用し、隠れた脅威を迅速に発見し、不審なアクティビティを調査し、リアルタイムで攻撃に対応できるようにする。
同セキュリティシステムとGoogle Security Operationsのエージェント型セキュリティオペレーションセンター(SOC)機能は、ネットワーク、ID、アプリケーションテレメトリ全体での新たな異常の自動検知、トリアージ、調査、発見をさらに強化する。これにより、継続的な監視機能が提供され、攻撃者よりも先に脆弱性を発見可能になる。
このプラットフォームは環境を根本から保護する。毎日、構築、署名、検証される堅牢化されたコンテナイメージを使用することで、導入の初期段階からアタックサーフェスを最小限に抑える。