今回から新シリーズをスタートします。
今年の下期に、Google Security Operationsを導入するプロジェクトへ参画することが決まりました。これを機に、Professional Security Operations Engineer認定資格の取得も目指しており、本シリーズではプロジェクトの準備や認定取得に向けて学習した内容をアウトプットしていきます。
最近では、Anthropicの「ミュトス」が話題となっていますが、サイバーセキュリティの重要性は今後ますます高まっていくと考えています。デジタル化やAIの普及が進む一方で、サイバー攻撃も高度化・巧妙化しており、企業や組織にとってセキュリティ対策は欠かせないものとなっています。
GoogleもGoogle Security Operationsの拡販に注力しており、セキュリティ分野への需要は今後さらに拡大していくでしょう。そのため、ITエンジニアにとってセキュリティは非常に重要かつ将来性の高い専門分野の一つであると考えています。
本シリーズを通じて、Google Security Operationsの知識を共有するとともに、セキュリティに興味を持つエンジニアが一人でも増えれば幸いです。
今後、複数回にわたりGoogle Security Operationsに関する記事を執筆していきます。
是非、最後までご覧いただけると嬉しいです。
Google Security Operations 概要
Google Security Operations(Google SecOps)は、Googleのコアインフラストラクチャ上に構築された、企業向けの先進的なクラウドサービスです。このプラットフォームは、企業が生成する膨大なセキュリティおよびネットワークテレメトリーを非公開で保持、分析、検索できるように設計されています。
最大の特長は、SIEM(セキュリティ情報およびイベント管理)、SOAR(セキュリティオーケストレーション、自動化、レスポンス)、そしてGoogle Cloud、VirusTotal、Mandiant由来の脅威インテリジェンスを単一のプラットフォームに統合している点にあります。
セキュリティ運用のライフサイクルを包括的にサポート
Google SecOpsは、脅威の検知から解決までのライフサイクル全体を、以下の4つの主要なフェーズで支援します。
- 収集 (Collection)
フォワーダー、パーサー、OpenTelemetryコレクタ、コネクタ、Webhookなどの多様な手法を用いて、あらゆるセキュリティテレメトリーをプラットフォームに取り込みます。 - 検出 (Detection)
取り込まれたデータは集計され、統合データモデル(UDM)を使用して正規化されます。この共通言語化により、異なるソースのデータが検出ルールや最新の脅威インテリジェンスとシームレスにリンクされます。 - 調査 (Investigation)
アナリストはケース管理、高度な検索、コラボレーションツール、およびコンテキスト認識分析を活用して、脅威の範囲や原因を徹底的に調査できます。数か月以上遡って、ドメインやIPアドレス、アセットに対する侵害の有無を確認することが可能です。 - 対応 (Response)
自動化されたハンドブック(プレイブック)やインシデント管理機能により、アナリストは迅速なレスポンスと修復アクションを実行できます。
プラットフォームを支える強力な機能
Google SecOpsは、単なるツールの統合に留まらず、次世代の分析体験を提供します。
- UDM(Unified Data Model)検索と未加工ログスキャン:正規化されたUDMデータの高速検索だけでなく、解析前の生ログに対するスキャンも提供し、柔軟な調査を可能にします。
- Gemini in Google SecOps:自然言語プロンプトを使用して検索クエリの生成、ルールの作成、ケースの要約などを行うことができ、アナリストの生産性を飛躍的に向上させます。
- 検知エンジン:受信データすべてを自動的に検索し、既知または潜在的な脅威が検出された場合に通知するルールを運用できます。
- Lookerベースの分析:高度なダッシュボードとレポート機能により、SOCのKPI(重要業績評価指標)をリアルタイムで追跡し、運用の有効性を可視化します。
Google SecOpsは、Googleのインフラが持つ圧倒的なスケールと、SIEM/SOARのシームレスな融合により、日々巧妙化するサイバー脅威に対して、企業がこれまで以上に迅速かつ正確に対応できる基盤を提供します。
Google Security Operations 概要のまとめ
Google Security Operations(Google SecOps)は、SIEM、SOAR、脅威インテリジェンスを統合したクラウドネイティブなセキュリティ運用基盤です。
収集・検知・調査・対応のライフサイクル全体を一元的に支援し、SOC運用の効率化と高度化を実現します。また、UDMによるデータ正規化やGeminiを活用した生成AI機能により、迅速な脅威分析とインシデント対応を可能にします。
Googleの大規模インフラと豊富な脅威インテリジェンスを活用することで、組織は高度化・巧妙化するサイバー攻撃に対して、より強固なセキュリティ体制を構築できます。
Standard、Enterprise、Enterprise Plus の違い
Google Security Operations(Google SecOps)は、企業のセキュリティニーズに合わせて Standard、Enterprise、Enterprise Plus の3つのパッケージ階層を提供しています。各パッケージによって、SIEMおよびSOARで利用できる機能の範囲や、脅威インテリジェンスの深さ、データの保持期間などが決まります。
各パッケージの主な特徴
1. Standard:セキュリティ運用の基盤
Standardパッケージは、セキュリティ運用のための基本的なレイヤを提供します。データの取り込み、正規化(UDM)、検知、調査、対応という一連のコア機能が含まれています。
- データ保持:追加費用なしで「ホットデータ」を12か月間保持し、検索可能です。
- 検知ルール:最大1,000個の単一イベントルールと、75個のマルチイベントルールを実行できます。
- SOAR機能:300以上の事前構築済み統合を利用し、基本的なレスポンスのオーケストレーションが可能です。
2. Enterprise:AIと分析による高度な運用
Enterpriseパッケージは、Standardの全機能に加え、高度な分析とAIによる生産性向上ツールが追加されます。
- Gemini in Google SecOps:自然言語プロンプトを使用して、検索クエリの作成、ルールの生成、ケースの要約などが可能になり、アナリストの作業効率を飛躍的に高めます。
- UEBA(ユーザーとエンティティの行動分析):認証情報の漏洩や内部脅威の兆候となる異常行動を自動的に特定します。
- 拡充されたインテリジェンス:Google セーフ ブラウジングなどのOSINT(オープンソース・インテリジェンス)を使用して、アラートのコンテキストを強化します。
3. Enterprise Plus:最上位の保護とデータ制御
Enterprise Plusは、最も包括的なパッケージであり、MandiantやVirusTotalの深い知見と、高度なデータ管理機能を提供します。
- Applied Threat Intelligence:Mandiantの最前線の研究結果やVirusTotalのデータベースを活用し、環境固有の侵害インジケーター(IoC)を自動的に優先順位付けします。
- 高度なデータパイプライン:機密情報の秘匿化(マスキング)や、複数の宛先へのデータ転送など、柔軟なデータ処理が可能です。
- CMEK(顧客管理暗号鍵):保存データの暗号鍵を自社で管理・制御できます。
- 高度なBigQueryエクスポート:マネージドBigQueryデータセットを自動プロビジョニングし、複雑なカスタムレポート作成を支援します。
機能比較一覧表
| 機能・サービス | Standard | Enterprise | Enterprise Plus |
|---|---|---|---|
| SIEM / SOAR 基本機能 | 含まれる | 含まれる | 含まれる |
| 検知ルール上限(単一/マルチ) | 1,000 / 75 | 2,000 / 200 | 3,500 / 400 |
| Gemini AI アシスタンス | 含まれない | 含まれる | 含まれる |
| UEBA (行動分析) | 含まれない | 含まれる | 含まれる |
| 脅威インテリジェンス | 自社フィードのみ | OSINTで拡充 | プレミアム(GTI/Mandiant) |
| CMEK (暗号鍵管理) | 含まれない | 含まれない | 含まれる |
| BigQuery ストレージ | 含まれない | 含まれない | 含まれる |
さらなる統合:Google Unified Security (GUS)
さらに大規模で戦略的なセキュリティ統合を求める組織向けに、Google Unified Security (GUS) も提供されています。これにはEnterprise Plusの全機能に加え、Security Command Center EnterpriseやChrome Enterprise Premium、Mandiantのインシデント対応リテーナーなどがパッケージ化されています。
各パッケージの料金は、データの取り込み量に基づいています。自社の組織規模や、AI活用の必要性、法規制への準拠要件(CMEKなど)を考慮して、最適なパッケージを選択することが重要です。
Standard、Enterprise、Enterprise Plus の違いのまとめ
Google Security Operationsは、組織のセキュリティ成熟度や要件に応じて、Standard、Enterprise、Enterprise Plusの3つのパッケージを提供しています。
Standardは基本的なSIEM/SOAR機能を、EnterpriseはGeminiやUEBAによる高度な分析機能を、Enterprise PlusはMandiantの脅威インテリジェンスやCMEKなどの高度なデータ保護機能を提供します。各プランの違いを理解することは、自社に最適なセキュリティ運用基盤を選定するうえで重要です。
導入を検討する際は、組織規模や運用体制、コンプライアンス要件を踏まえ、必要な機能とコストのバランスを考慮して選択しましょう。
Google SecOps の課金コンポーネント
Google Security Operations (Google SecOps) の使用料金は、主にクレジットベースのモデルとサブスクリプションベースのモデルの組み合わせで構成されています。これらの料金は Google Cloud 課金コンソールを通じて管理・モニタリングすることが可能です。
課金モデルの全体像
Google SecOps の課金は、パッケージ(Standard、Enterprise、Enterprise Plus)ごとのサブスクリプション料金と、実際のデータ取り込み量に基づいています。
- クレジットベースの取り込み:コアデータの取り込みにはクレジットが使用されます。購入した合計 GB 数に相当するクレジット残高が請求先アカウントに付与され、実際の取り込み量に応じてその残高から引き落とされます。
- サブスクリプション料金:選択したパッケージ階層に応じた固定額の料金です。
正しい課金のための重要な構成
課金とクレジットの相殺を正しく機能させるには、以下の構成が必須です。
- 請求先アカウントの一致
Google SecOps インスタンスをホストする Google Cloud プロジェクトは、サブスクリプションの注文に使用したのと全く同じ請求先アカウント ID にリンクされている必要があります。これらが一致しない場合、クレジットが正しく適用されず、誤った請求が発生する原因となります。 - リージョンの確認
Google SecOps はリージョン固有の SKU を使用します。基盤となる運用コストの違いにより、料金はリージョンによって異なる場合があります。
表示される主な課金項目 (SKU)
Google Cloud コンソールの「請求」セクションには、以下のコンポーネントが表示されます。
- SecOps (コミットメント) SKU:予約したサブスクリプションに基づく固定の定期購入料金です。
- 使用量 (データ取り込み) SKU:取り込まれた実際のデータ量です。SecOps クレジットによって相殺されます。
- 使用量の超過:データ取り込み量がクレジット残高を超えた場合に発生する、交渉レートに基づく追加料金です。
- データ保持 SKU:データの保持期間を標準の 12か月 を超えて延長する場合に、取り込み済みのデータ合計量に基づいて請求される後払い料金です。
- Assured Workloads SKU:FedRAMP High などの特定のコンプライアンス環境(Assured Workloads)を使用する場合、そのフォルダ内の全サービス費用に対する一定割合の追加料金が発生します。
契約終了後の猶予期間
サブスクリプション契約の有効期限が切れると、セキュリティを維持するために自動的に猶予期間に入ります。
- 料金:猶予期間中のすべての使用量は、割引なしの標準正規価格で課金されます。
- 請求:月単位の後払いとなります。
費用のモニタリングと管理ツール
Google Cloud は、費用の分析と最適化のために以下のツールを提供しています。
- 費用の傾向分析:請求レポートを使用して、SKU ごとに使用量をフィルタリングし、詳細な傾向を確認できます。
- 予算としきい値の設定:予算アラートを構成することで、設定した金額に達した際にメール通知を受け取ることができます。
- リソースへのラベル適用:チーム、環境、コストセンターごとにラベルを適用することで、費用を詳細に分類して追跡できます。
※ 注意:統合パッケージではなく、スタンドアロン製品として購入した Google SecOps SIEM または SOAR は、Google Cloud の請求プラットフォームではなく別のシステムで請求されるため、内訳は Google Cloud コンソールでは確認できません。
Google SecOps の課金コンポーネントのまとめ
Google SecOpsの課金体系は、サブスクリプション料金とデータ取り込み量に応じたクレジットベース課金を組み合わせた仕組みとなっています。
適切な課金管理のためには、請求先アカウントの設定やリージョンごとの料金体系を正しく理解することが重要です。また、データ保持期間の延長や取り込み量の超過によって追加費用が発生するため、継続的なコスト監視と最適化が求められます。
Google Cloudの請求レポートや予算アラートを活用することで、Google SecOpsの運用コストを可視化し、計画的なセキュリティ運用を実現できます。
まとめ
今回は、下記3点について説明しました。
- Google Security Operations 概要
- Standard、Enterprise、Enterprise Plus の違い
- Google SecOps の課金コンポーネント
今回は、Google Security Operations(Google SecOps)の概要から、Standard・Enterprise・Enterprise Plus の各エディションの違い、さらに課金体系について解説しました。
Google SecOpsは、SIEM・SOAR・脅威インテリジェンスを統合したセキュリティ運用基盤であり、ログの収集から脅威の検知、調査、対応までを一元的に実施できる強力なプラットフォームです。特に、Googleの大規模なインフラストラクチャと、MandiantやVirusTotalの脅威インテリジェンス、そしてGeminiによる生成AI機能を活用できる点は大きな魅力といえるでしょう。
また、組織の規模やセキュリティ成熟度に応じて、Standard、Enterprise、Enterprise Plusの中から最適なプランを選択できるほか、データ取り込み量を中心とした課金モデルについても理解しておくことが重要です。
Professional Security Operations Engineer認定試験においても、Google SecOpsのアーキテクチャや主要機能、運用モデル、ライセンス体系に関する知識は重要な学習テーマとなります。まずは本記事で全体像を把握し、今後はログ収集、UDM、検知ルール、脅威ハンティング、SOARによる自動化など、より実践的な内容を学習していきましょう。
これからも、Macのシステムエンジニアとして、日々、習得した知識や経験を発信していきますので、是非、ブックマーク登録してくれると嬉しいです!
それでは、次回のブログで!
