Google Chronicle ぐーぐる くろにくる
簡単に言うとこんな感じ!
Googleのインフラを使って「会社中のセキュリティログを丸ごと保存・分析する巨大な監視カメラシステム」だよ!普通のSIEMだと膨大なデータに課金されてログを捨てがちだけど、Chronicleは定額制でどんだけ貯めてもOKなのが最大の強みなんだ!
Google Chronicleとは
Google Chronicle(クロニクル)は、Googleが提供するクラウドネイティブのSIEM(セキュリティ情報・イベント管理)プラットフォームです。企業内のネットワーク機器・サーバー・エンドポイント・クラウドサービスなど、あらゆる場所から生成されるセキュリティログを一元的に収集・保存・分析し、脅威を素早く検出・調査するために設計されています。
もともとはGoogleの社内セキュリティチームが使っていた仕組みを製品化したもので、2019年にGoogleに買収されたスタートアップ「Chronicle Security」が起源です。現在はGoogle Cloudのセキュリティポートフォリオの中核を担い、Google SecOps(Security Operations)ブランドの一部として提供されています。
最大の特徴は、Googleの超大規模インフラを活用した定額制の料金モデルです。従来のSIEMはログの量(GB・イベント数)に応じて課金されるため、コスト削減のためにログを削除・圧縮してしまい、後から調査しようにも証跡が残っていない、という問題がありました。Chronicleはこの課題を根本から解決します。
Chronicleの主な機能と構造
| 機能 | 説明 |
|---|---|
| ログ収集・正規化(UDM) | あらゆるソースのログをUnified Data Model形式に変換して統一管理 |
| 長期ログ保存 | デフォルト1年間(最大2年)の保存が定額内に含まれる |
| YARA-L 2.0 | Googleが設計した検出ルール言語。脅威パターンを記述して自動検出 |
| 脅威インテリジェンス統合 | VirusTotalのデータをリアルタイムで参照し、IOC(侵害の痕跡)を自動照合 |
| ケース管理(SOAR) | アラートのトリアージ・対応手順の自動化(旧Siemplify機能を統合) |
| Google AI統合 | Duet AIによる自然言語での調査クエリ・脅威サマリーの生成 |
UDM(Unified Data Model)とは
Chronicleが独自に定義したログの共通フォーマットです。ファイアウォールのログもWindowsイベントログもクラウドの監査ログも、すべて同じ構造に変換(正規化)されます。これにより、ソースが違ってもまとめて横断検索できるのが強みです。
【UDM正規化のイメージ】
ファイアウォールログ ──┐
Windowsイベントログ ──┤── UDM変換 ──► 統一フォーマット ──► 横断検索・分析
Cloudアクティビティ ──┘
EDRアラート ─────────┘
料金モデルの違い(従来SIEM vs Chronicle)
| 比較項目 | 従来のSIEM | Google Chronicle |
|---|---|---|
| 料金体系 | ログ量(GB/日)に応じた従量課金 | 従業員数・デバイス数ベースの定額制 |
| ログ保存期間 | コスト削減のため短縮しがち | デフォルト1年、定額内 |
| スケーラビリティ | データ増加 = コスト増 | Googleインフラで自動スケール |
| 分析速度 | 大量データは遅くなることも | ペタバイト規模でも高速検索 |
歴史と背景
- 2016年 — Googleの元エンジニアらがセキュリティスタートアップ「Chronicle Security」を設立(Alphabet傘下のムーンショット工場「X」発)
- 2018年 — Chronicleが独立企業として正式発表。Googleのインフラを使ったSIEMとして注目を集める
- 2019年 — GoogleがChronicle SecurityをGoogle Cloudに統合
- 2020年 — 一般提供(GA)開始。VirusTotalとの連携を強化
- 2022年 — GoogleがSOAR(セキュリティ自動化)企業「Siemplify」を買収し、Chronicleに統合
- 2023年 — ブランドをGoogle SecOpsに刷新。Duet AI(生成AI)による自然言語調査機能を追加
- 2024年 — Gemini AIをSOC業務に活用する機能を拡充。マネージドサービス提供も強化
他のSIEM製品との比較
主要なSIEM製品とChronicleの位置づけを比較します。
Chronicleが特に向いているケース
- 大量のログを長期保存したい(コンプライアンス要件で1年以上の保存が必要)
- Google Workspaceや他のGCPサービスをメインで使っている環境
- VirusTotalの脅威インテリジェンスをリアルタイム活用したい
- SOCチームの自動化・効率化を進めたい(SOAR統合)
- 従来SIEMのコスト(ログ量課金)に悩んでいる
検討時の注意点
- Microsoft Azure中心の環境ではMicrosoft Sentinelとの親和性も高く、Chronicle一択ではない
- SIEMからの移行コスト(ルールの書き直し・運用体制の変更)が発生する
- SOCチームにYARA-LやUDMを扱えるスキルセットが求められる
関連用語
- SIEM — セキュリティログを収集・分析して脅威を検出するシステムの総称
- SOC — セキュリティ監視・対応を専門に行う組織またはチーム
- SOAR — セキュリティ対応を自動化するプラットフォーム
- EDR — エンドポイント(PC・サーバー)の脅威を検出・対応するツール
- VirusTotal — Googleが運営するマルウェア・URLの脅威分析プラットフォーム
- 脅威インテリジェンス — 既知の攻撃者・手法・IOCに関する情報を集約したデータ
- Microsoft Sentinel — AzureベースのクラウドネイティブSIEM製品
- Google Cloud — Googleが提供するクラウドコンピューティングサービス群