Google Cloud Next '26は、2026年4月22日から4月24日の3日間、アメリカ・ラスベガスのMandalay Bayにおいて開催されるGoogleのクラウドサービスに関する世界最大級のイベントです。「ディープ ラーニング、刺激的なセッション、共同での問題解決など、充実した 1 週間になることでしょう。業界の専門家や、あなたと同じ課題や機会に直面している同業者から直接学ぶチャンスです。Next 26 を終える頃には、他では得られない斬新なアイデア、最先端のスキル、行動につながる知見を身につけていることでしょう。」と銘打っており、AIコンテンツで大いに盛り上がった昨年や一昨年にも勝るとも劣らないイベントとなることが期待されます。
私たちNTTインテグレーションも、Google Cloudに精通した専門家として、技術イノベーションの最新動向を取り入れ、顧客に対するソリューション提供に活かしていくことを目指して参加しています。
このような貴重な機会ですので、現地からいち早くブログで最新情報や熱量を発信してまいります。
セッション冒頭、Ben 氏は会場に手を挙げてもらうかたちで問いかけました。「セキュリティチームが 10 人以下の人は?」でほぼ全員、「5 人以下は?」で半数近く、「自分一人のチームは?」でも相当数が手を挙げていました。
脅威環境として挙げられたのは次のような傾向です。
脅威アクターはすでに AI を使って攻撃ライフサイクルを自動・加速化しており、防御側の介入窓口は秒単位にまで縮小しています。高度な攻撃グループが 1 年以上ステルスで侵入を継続するケースもあるとのことでした。ヘルプデスクに電話して従業員を装い認証情報を詐取する音声ソーシャルエンジニアリングも増加傾向にあるとのこと。小規模な取引先を踏み台にして大企業へアクセスするサプライチェーン攻撃も増えています。さらに、プロンプトインジェクション攻撃が自律エージェントに適用され始めており、セキュリティポリシーをバイパスする用途に使われるリスクも出てきたと説明されていました。
少人数チームはこれだけの脅威に対し、大企業と同等のリスクを抱えながら、24 時間体制の欠如・アラート疲弊・スキルギャップという構造的な制約のなかで戦わなければならない。それがこのセッションの問題意識です。
Ben 氏は「守り方を変えるのではなく、守りの経済構造を変える必要がある」と述べ、目指すべき姿として「エージェント型 SOC」を掲げました。
コンセプトは、SOC 内の各ロール(トリアージ、脅威ハンティング、検知エンジニアリングなど)に自律エージェントを配置し、攻撃と同じマシンスピードで防御するというものです。
登壇者は 3 つの根拠を示しました。
一つ目は Mandiant の知見をエージェントに組み込んでいる点です。数十年分の脅威インテリジェンス経験をエージェントのプロンプトと評価基準に直接埋め込み、定期的に「Mandiant の専門家なら同じケースをどう判断するか」を基準にエージェントの精度を評価しているとのことです。
二つ目は AI スタックの垂直統合です。TPU を含む独自ハードウェアから最先端モデルまで一貫して自社で保有しているため、コストと性能の両方で他社よりも有利なポジションを取れると説明されていました。
三つ目は統合データです。すべてのセキュリティテレメトリを共通スキーマで統一することで、エージェントが判断に必要なコンテキストを一貫して参照できる設計になっています。
Forrester 調査の数値として登壇中に引用されたのが以下の 3 指標です。セキュリティ侵害コストが 70% 削減、平均対応時間(MTTR)が 50% 短縮、平均調査時間(MTTI)が 65% 短縮という結果でした。
「AI による調査の同僚」と表現されていたこのエージェントは、アラートが発生すると自動で調査を開始し、偽陽性・真陽性を分類したうえで、リスクのあるものを深掘りします。
デモでは、ロシアの脅威アクターが GCP アセットに対してリモートコード実行を試みているという実際のケースが示されました。エージェントは IP アドレスやドメインなどの侵害指標(IoC)を自動で照合し、Google Threat Intelligence と突き合わせて悪意の有無を判断します。調査結果に基づいた追加調査クエリを提案し、ボタン一つで実行できる UI も示されていました。
セッション前日に発表されたばかりで、現在Private Preview の Threat Hunting Agent についてもデモが行われました。
脅威アクター・キャンペーン・マルウェア・TTP を指定して脅威ハンティングを実行できます。デモでは APT28 を指定して起動し、エージェントが自律的にハントプランを作成→各ステップを実行→証拠を収集という流れで動作し、最終的に「APT28 が実際に環境内に存在する」という結論を出す様子が示されました。
Juan Carlos Alvarez 氏(Luma Cloud CEO)は、9 人のチームでより多くの顧客を支援できるようになった過程と、顧客企業での具体的な事例を紹介しました。
また、AI による業務変容についても説明がありました。
100 件以上のレポートを毎月届けていたため、以前は 3 日かかっていた作業が生成 AI により数分で生成できるようになったとのことです。Level 1 アナリストに対して Gemini が「Level 3 の知見」をリアルタイムで提供することで、上位エンジニアへのエスカレーションなしに判断できるケースが増えたと説明していました。
会場からは実務に直結した質問が出ました。
「自動修復をどこまで許容するか」という問いに対し、Juan 氏は「AI が 7〜8 割の重作業を担うが、最終的な判断は人間が行う」というスタンスを明確にしていました。エージェントが証拠を整理してプレイブックを提案するところまでは自動でも、実行の判断は人間が承認する設計だとのことです。
「CEO が旅行中だからその IP は無視して、といった個別コンテキストを Triage Agent に入力できるか」という質問に対し、Ben 氏は「現時点ではサポートしていないが、非常に良いフィードバック」と回答していました。
エージェント構築のリソースについては、Google 側は「SME(ドメイン専門家)1 名とデータサイエンティスト 1〜2 名」という 2〜3 人の小チームで構築していると説明。Luma Cloud 側は「好奇心と熱量のある人材が自発的にやっている」「1 日 1 時間の探索時間を確保している」という運用を共有していました。
このセッションは新機能の発表が目玉というわけではなく、コンセプトと事例を重視した構成でした。それでも会場はある程度入っており、座っている方々の属性を見ると、上位に近い層が多い印象でした。セキュリティのリソース問題は日本でも同じですが、「グローバルでもそうなのか」という感覚は現地ならではでした。
Juan 氏の事例紹介はラフなトークスタイルでしたが、「95% のアセスメントで想定外の脆弱性が見つかる」という数字は刺さりました。自社も同じ状況にあるかもしれない、と感じた方は会場にも多かったのではないかと思います。
Google Cloud、Google Workspaceに関する お問い合わせはこちら
XIMIX®はNTTインテグレーションが所有する登録商標です。(商標登録第6755234号)