クラウドセキュリティの新潮流「Agentic Defense」の幕開け
私はセキュリティを専門としているので、前述した「Agentic Defense」について本章で深掘りしたいと思います。Google Cloudは、自社の強力な脅威インテリジェンス(これまで買収してきたMandiantやVirusTotalの知見)と、新たに買収したWizのクラウドセキュリティ基盤を融合させ、セキュリティ運用の高度化を進めています。
まず、注目すべきは、Google CloudのSIEMである「Google Security Operations」に追加された2つの専門エージェントです。SIEMとは、複数の IT 機器のログを収集し、統合管理・分析することで、セキュリティインシデントを検知するためのソリューションです。私自身もセキュリティアナリスト経験があり、SIEMを日ごろから使ってSOC活動を行っていたため、非常に関心がある分野でした。
Threat Hunting agent(脅威ハンティング・エージェント)
従来のハンティングは、高度なスキルを持つアナリストが仮説を立て、膨大なログの中から不審な挙動を執念深く探すという、いわゆる職人芸のようなものでした。
このエージェントは、Google Threat Intelligenceが持つ最新の攻撃者グループの行動パターンをリアルタイムで学習しており、セキュリティアナリストに代わって未知の攻撃をプロアクティブに捜索します。例えば、「最近の金融機関を狙った攻撃キャンペーンに似た予兆」といった事象も、数秒で洗い出すことができます。
Detection Engineering agent(検知エンジニアリング・エージェント)
これまで、新しい攻撃手法が見つかるたびに、SIEMの検知ルールをシグネチャやクエリとして書き起こすのは大変な労力でした。
このエージェントは、最新の脅威シナリオから「検知すべきルール」を自動生成します。単にルールを作るだけでなく、既存のログで検知テストを行い、誤検知のリスクを評価したうえで提案してくれます。
ハンティングやルール作成は属人的になりやすく、また、非常に時間を要するものでした。私がセキュリティアナリスト時代に何時間もかけて取り組んでいたことが一瞬でできてしまい、SOCのあり方も大きく変わるのではないかと思いました。
さらに、Wizのプラットフォーム上でも、3つのエージェントがその実力を誇示していました。
Wiz Red Agent
従来のペネトレーションテストは、特定の時点での評価にすぎませんでした。しかし、Wiz Red Agentは、環境が変更されるたびに、あるいは新しい脆弱性情報が公開されるたびに、バックグラウンドで自律的に「攻撃のシミュレーション」を実行します。まるで、高度なセキュリティ研究者のように振る舞い、自社のWebアプリケーションやAPIに対してシミュレーションを実行し、悪用可能なリスクを特定します。
Wiz Blue Agent
インシデントが発生した際、初動対応で最も時間を要するのは「関連情報の収集」です。Wiz Blue Agentは、アラートが発生した瞬間に関連するすべてのリソースの相関関係、クラウドのテレメトリやコンテキストを収集し、インシデントの調査ロジックの透明性を持って調査結果を提示します。
Wiz Green Agent
多くのセキュリティツールが「問題の指摘」で終わる中、Wiz Green Agentは「解決」までを担います。熟練のセキュリティエンジニアのように根本原因を分析し、環境に合わせたステップ・バイ・ステップの修復手順を自動生成します。
これまでのWizは、Security Graphにより優れた可視化を実現し、利用者の調査を支援していました。新たに登場したエージェントたちは、自律的にパトロールし、脅威を検出し、その結果を利用者に報告するまでになりました。さらに、ワークフローでエージェントの呼び出しなどのアクションを定義することができるため、自動化できる範囲が大きくなりました。今後も専門領域に特化したエージェントを従え、SOC業務にあたっていく傾向が続くのではないかと思います。
これまで我々が「自動化」と呼んできたものは、あらかじめ人間が定義したルールの実行に過ぎませんでした。しかし、今回目撃したThreat Hunting agentやWiz Red Agentなどは、その場の状況に応じて自ら次のアクションを決定する「自律性」を獲得しています。
例えば、Blue Agentが検知した不審な通信に対し、自前のビジネスリスク分析Agentが「これはビジネス継続性の観点から遮断すべきではない」と異を唱え、最終的にDetection Engineering agentが、リスクを最小化しつつ監視を強化する新しい検知ルールをその場で生成・適用するということが可能になります。この自律的なガバナンスは、これまでの「人間がすべての判断を下す」という前提を根本から揺るがすものです。
一方で、セキュリティ専門家として一抹の不安も拭えません。Threat Hunting agentが「未知の脅威を検知した」と報告してきた際、その根拠となる推論プロセスが高度化・複雑化しすぎれば、人間には検証不能な「ブラックボックス」と化します。
Google Cloudが今回、Agent Observability(エージェントの可観測性)を強調しているのは、この不信感に対する解でしょう。エージェントがなぜその判断を下したのかを、人間が監査できるレベルまで透明化できるのか。いわゆる「説明可能なAI(Explainable AI)」ですが、これこそが、我々セキュリティのプロフェッショナルがこれらのエージェントを「道具」ではなく「同僚」として信頼できるかどうかの分岐点になると思います。
大島流「Google Cloud Next」の歩き方
この記事を読んでいるエンジニアの皆さんの多くは、そろそろラスベガスへ行ってみたいという思いを抱いていることでしょう。そこで、この巨大な知の祭典を120%使い倒し、高い満足度を得るための大島流の立ち回り方を紹介します。
ハンズオンセッションに参加しよう
私は海外カンファレンスでは座学のセッションを絞り、ハンズオンセッションに時間を割くことにしています。座学のセッションはのちにYouTubeで公開されますが、最新機能は帰国後すぐに試せるとは限らないため、現地のハンズオンセッションで試すことをお勧めします。ここで世界一早く最新機能に触れて試行錯誤することが、専門家としての血肉になるからです。また、講師のエンジニアを捕まえて「この設定、実運用のこのケースではどう活用できる?」などと直接質問できることこそが現地参加の醍醐味です。
Google Cloud Nextでは以下のようなCTF会場もあり、問題を解きながらSecurity Command CenterやGoogle Security Operationsの最新機能を試すことができます。
EXPOは日本未上陸の企業を狙おう
EXPOはGoogle Cloudとパートナー企業が最新の製品やサービスを展示しており、実際に動くデモを見ながら担当者から直接話を聞くことができます。ここでの最大の収穫は、「日本未上陸」の尖ったスタートアップに直接触れられることです。
今回のGoogle Cloud Next '26では、とくに「AI-SPM」や「エージェント・ガバナンス」を専門とする新興企業が軒を連ねていました。日本でプレスリリースを待っているだけでは得られない、実際に動くデモとその場でぶつける質問から得られる一次情報は、セキュリティ専門家としての私の知見を大きくアップデートしてくれました。
海外カンファレンスのもう一つの華といえば、SWAG(ノベルティ)の収集です。Tシャツやステッカー、バッグパックやハイテクガジェットまで、各社が趣向を凝らしものを配布しています。とくにデザイン性の高いTシャツや、注目企業のSWAGはすぐに品切れになります。後半にゆっくり回ればいいという考えは、この地では通用しないため、できるだけ体力が残っている会期序盤にめぼしいSWAGを入手してしまいましょう。
SNSを積極的に使おう
ラスベガスの熱狂の中にいると、記憶は情報の濁流に飲み込まれてしまいます。一人ですべてのセッションを見ることは物理的に不可能なので、私は公式ハッシュタグ(#GoogleCloudNext)をチェックしていました。別会場で発表されたばかりの新機能のユースケースや、開発者コミュニティでの新機能に関する鋭い指摘など、これらをリアルタイムで追うことで、自分の視点に圧倒的な厚みが加わります。SNSは「会場全体に張り巡らされた外部センサー」なのです。
また、自身もSNSで発信をしています。私はセッション中、重要なスライドや心に刺さったフレーズをその場で自分の解釈で言語化し、ハッシュタグと共に投稿し続けました。自分の解釈が正しいか、どういった話題が世の中の関心が高いのか、世界基準でどう見られているかを確認する、いわゆる「リアルタイムな答え合わせ」ができます。
大した情報を発信できないと懸念される方もいらっしゃるかもしれませんが、自身のアウトプットは必ず誰かのインプットになりなります。情報は巡り巡って、より発信する人に集まる傾向があるので、ぜひ積極的に発信してみてください。
