セキュリティ製品 - SIEM・SOC

Google Chronicle ぐーぐる くろにくる

SIEMSOCセキュリティログ脅威検出Google CloudUDM
Google Chronicleについて教えて

簡単に言うとこんな感じ!

Googleのインフラを使って「会社中のセキュリティログを丸ごと保存・分析する巨大な監視カメラシステム」だよ!普通のSIEMだと膨大なデータに課金されてログを捨てがちだけど、Chronicleは定額制でどんだけ貯めてもOKなのが最大の強みなんだ!


Google Chronicleとは

Google Chronicle(クロニクル)は、Googleが提供するクラウドネイティブSIEM(セキュリティ情報・イベント管理)プラットフォームです。企業内のネットワーク機器・サーバー・エンドポイント・クラウドサービスなど、あらゆる場所から生成されるセキュリティログを一元的に収集・保存・分析し、脅威を素早く検出・調査するために設計されています。

もともとはGoogleの社内セキュリティチームが使っていた仕組みを製品化したもので、2019年にGoogleに買収されたスタートアップ「Chronicle Security」が起源です。現在はGoogle Cloudのセキュリティポートフォリオの中核を担い、Google SecOps(Security Operations)ブランドの一部として提供されています。

最大の特徴は、Googleの超大規模インフラを活用した定額制の料金モデルです。従来のSIEMはログの量(GB・イベント数)に応じて課金されるため、コスト削減のためにログを削除・圧縮してしまい、後から調査しようにも証跡が残っていない、という問題がありました。Chronicleはこの課題を根本から解決します。


Chronicleの主な機能と構造

機能説明
ログ収集・正規化(UDM)あらゆるソースのログをUnified Data Model形式に変換して統一管理
長期ログ保存デフォルト1年間(最大2年)の保存が定額内に含まれる
YARA-L 2.0Googleが設計した検出ルール言語。脅威パターンを記述して自動検出
脅威インテリジェンス統合VirusTotalのデータをリアルタイムで参照し、IOC(侵害の痕跡)を自動照合
ケース管理(SOARアラートのトリアージ・対応手順の自動化(旧Siemplify機能を統合)
Google AI統合Duet AIによる自然言語での調査クエリ・脅威サマリーの生成

UDM(Unified Data Model)とは

Chronicleが独自に定義したログの共通フォーマットです。ファイアウォールのログもWindowsイベントログもクラウドの監査ログも、すべて同じ構造に変換(正規化)されます。これにより、ソースが違ってもまとめて横断検索できるのが強みです。

【UDM正規化のイメージ】

ファイアウォールログ ──┐
Windowsイベントログ ──┤── UDM変換 ──► 統一フォーマット ──► 横断検索・分析
Cloudアクティビティ ──┘
EDRアラート ─────────┘

料金モデルの違い(従来SIEM vs Chronicle)

比較項目従来のSIEMGoogle Chronicle
料金体系ログ量(GB/日)に応じた従量課金従業員数・デバイス数ベースの定額制
ログ保存期間コスト削減のため短縮しがちデフォルト1年、定額内
スケーラビリティデータ増加 = コスト増Googleインフラで自動スケール
分析速度大量データは遅くなることもペタバイト規模でも高速検索

歴史と背景

  • 2016年 — Googleの元エンジニアらがセキュリティスタートアップ「Chronicle Security」を設立(Alphabet傘下のムーンショット工場「X」発)
  • 2018年 — Chronicleが独立企業として正式発表。Googleのインフラを使ったSIEMとして注目を集める
  • 2019年 — GoogleがChronicle SecurityをGoogle Cloudに統合
  • 2020年 — 一般提供(GA)開始。VirusTotalとの連携を強化
  • 2022年 — GoogleがSOAR(セキュリティ自動化)企業「Siemplify」を買収し、Chronicleに統合
  • 2023年 — ブランドをGoogle SecOpsに刷新。Duet AI(生成AI)による自然言語調査機能を追加
  • 2024年 — Gemini AIをSOC業務に活用する機能を拡充。マネージドサービス提供も強化

他のSIEM製品との比較

主要なSIEM製品とChronicleの位置づけを比較します。

主要SIEM製品の比較マップ 横軸: スケーラビリティ(低→高) 縦軸: クラウドネイティブ度(低→高) スケール低 スケール高 クラウド寄り オンプレ寄り Google Chronicle 定額制・大規模・クラウド特化 Microsoft Sentinel Azure統合・従量課金 Splunk 高機能・データ量課金 IBM QRadar エンタープライズ・オンプレ強み LogRhythm 中規模向けSIEM

Chronicleが特に向いているケース

  • 大量のログを長期保存したい(コンプライアンス要件で1年以上の保存が必要)
  • Google Workspaceや他のGCPサービスをメインで使っている環境
  • VirusTotalの脅威インテリジェンスをリアルタイム活用したい
  • SOCチームの自動化・効率化を進めたい(SOAR統合)
  • 従来SIEMのコスト(ログ量課金)に悩んでいる

検討時の注意点

  • Microsoft Azure中心の環境ではMicrosoft Sentinelとの親和性も高く、Chronicle一択ではない
  • SIEMからの移行コスト(ルールの書き直し・運用体制の変更)が発生する
  • SOCチームにYARA-LUDMを扱えるスキルセットが求められる

関連用語

  • SIEM — セキュリティログを収集・分析して脅威を検出するシステムの総称
  • SOC — セキュリティ監視・対応を専門に行う組織またはチーム
  • SOAR — セキュリティ対応を自動化するプラットフォーム
  • EDR — エンドポイント(PC・サーバー)の脅威を検出・対応するツール
  • VirusTotal — Googleが運営するマルウェア・URLの脅威分析プラットフォーム
  • 脅威インテリジェンス — 既知の攻撃者・手法・IOCに関する情報を集約したデータ
  • Microsoft Sentinel — AzureベースのクラウドネイティブSIEM製品
  • Google Cloud — Googleが提供するクラウドコンピューティングサービス群