Mandiant

解決する課題

攻撃を防ぐには「いまどんな攻撃者が、どんな手口で動いているか」を知る必要がありますが、自社だけで最前線の知見を集めるのは困難です。Mandiant は、実際の侵害対応で得た攻撃者の知見をインテリジェンスと専門家サービスとして提供し、平時の備えと有事の対応を底上げします。

• 自社のセキュリティ運用が、世間で起きている攻撃の実態に追いつけない → 最前線で観測した攻撃者の手口（TTP）と指標を継続的に取り込む
• 侵害されているか分からない／された後どう動くか決まっていない → 侵害評価とインシデント対応を専門家とともに実施する
• アラートは出るが、対応できる人手と知見が足りない → マネージド防御で監視・トリアージ・対応支援を委託する
• 自社の防御が実際の攻撃に耐えられるか確証がない → **セキュリティ検証（攻撃シミュレーション）**で実効性を測る

AWS でいえば、マネージドな脅威検知やセキュリティ運用の委託に近い領域を、Google が買収した Mandiant の専門家チームと実戦由来のインテリジェンスで担うサービス群と捉えると分かりやすいです。

主要概念と用語

• 脅威インテリジェンス（Threat Intelligence）: 攻撃者・キャンペーン・脆弱性・侵害指標などを構造化した知見。最前線の対応事例から得たものが反映されるのが特徴
• TTP（Tactics, Techniques, and Procedures）: 攻撃者の戦術・技術・手順。MITRE ATT&CK のような枠組みで整理され、検知ルールや防御の優先度付けに使う
• IOC（Indicator of Compromise, 侵害指標）: 不審な IP・ドメイン・ハッシュなど「侵害の痕跡」を示すデータ。検知やブロックに活用する
• 侵害評価（Compromise Assessment）: すでに侵入されていないかを専門家が調査し、潜伏した脅威の有無を見極めるサービス
• インシデント対応（Incident Response, IR）: 侵害発生時に封じ込め・原因究明・復旧を支援する有事サービス
• マネージド防御（Managed Defense / MDR）: 監視・検知・トリアージ・対応支援を継続的に委託するマネージド検知対応サービス
• セキュリティ検証（Security Validation）: 実際の攻撃手口を安全に再現し、自社の防御が機能するかを継続測定する仕組み
• アタックサーフェス管理（Attack Surface Management, ASM）: 外部に露出した自社資産を継続的に洗い出し、攻撃面を縮小する取り組み

仕様・制限・クォータ

• 製品とサービスの組み合わせで構成される。脅威インテリジェンスのようなサブスクリプション型のプロダクトと、侵害評価・インシデント対応のような**専門家による役務（コンサルティング）**が含まれる
• 役務系（IR・侵害評価など）は個別契約・スコープ定義が前提で、対象範囲・期間・体制を都度決める。汎用のセルフサービス API だけで完結する性質のものではない
• Google Cloud のセキュリティ製品と統合される。脅威インテリジェンスは Security Command Center や SecOps（Chronicle 由来の SIEM/SOAR）に取り込まれ、検知・調査・対応のサイクルで利用できる
• インテリジェンスはフィードや API、ポータルを通じて配信され、既存の SIEM やセキュリティツールへ連携できる
• 提供プランごとにカバー範囲・配信形態・サポート体制が異なる。具体的な機能差・対応地域・契約条件は変動するため、最新は公式情報や担当へ確認する

内部の仕組み

Mandiant の価値は「最前線の対応で得た知見を、防御に還流させる循環」にあります。

1. 最前線での観測: 世界中のインシデント対応や侵害評価の現場で、実際の攻撃者の手口・ツール・インフラを直接観測する
2. インテリジェンス化: 観測した TTP・IOC・攻撃者プロファイルを分析・構造化し、検知や防御に使える形のインテリジェンスにまとめる
3. 配信と統合: フィード・API・ポータルや、Google Cloud のセキュリティ製品への組み込みを通じて、防御側へインテリジェンスを届ける
4. 検知・対応への適用: 取り込んだ知見をルールやトリアージに反映し、検知精度と対応速度を高める。新たな対応事例が再び観測としてフィードバックされ、循環が回り続ける

設計パターン / ベストプラクティス

• インテリジェンスを運用に流し込む: フィードや API で取り込んだ IOC・TTP を、SIEM の検知ルールやブロックリストへ反映し、知見を実際の防御に変える
• 平時に備えを固める: 侵害評価で潜伏脅威の有無を定期確認し、有事に慌てないようにする
• インシデント対応計画を事前に整える: IR を有事だけでなく事前の体制づくり（プレイブック・連絡体制）から準備し、初動を速くする
• 防御の実効性を検証する: セキュリティ検証で「想定どおり検知・ブロックできるか」を継続測定し、机上の対策で満足しない
• 攻撃面を継続把握する: ASM で外部露出資産を洗い出し、未知の入口を放置しない
• 既存の Google Cloud セキュリティと統合する: SCC や SecOps と連携させ、検知・調査・対応のサイクルにインテリジェンスを組み込む

運用・監視

• マネージド防御に監視を委託: 自社の人手だけでは難しい 24 時間監視・トリアージを専門家チームに任せ、重要なアラートに集中する
• インテリジェンスの鮮度を活かす: 配信される最新の攻撃者情報を定期的に検知ルールへ取り込み、古い指標に頼らない
• 有事のエスカレーション経路を用意: 重大インシデント時に IR へ迅速に連絡できる体制と契約を整えておく
• 検証結果をダッシュボードで追う: セキュリティ検証の結果から「どの防御が機能していないか」を把握し、改善に回す
• SIEM/SOAR と連携: 取り込んだインテリジェンスをトリガに、自動トリアージや対応ワークフローを回す

コスト

Mandiant はサブスクリプション型の製品（脅威インテリジェンス・セキュリティ検証・ASM など）と、専門家による役務（侵害評価・インシデント対応・マネージド防御など）が混在し、料金体系もそれぞれ異なります。製品はプランや配信規模に応じたサブスクリプション、役務はスコープ・期間・体制に応じた契約が一般的です。具体的な金額や課金単位は契約条件によって変動するため、最新は公式情報や担当へ確認してください。

セキュリティ

• インテリジェンスは機微情報として扱う: 攻撃者の手口や侵害指標は防御の要であり、配信データへのアクセスは IAM や権限管理で必要な範囲に絞る
• 有事の連絡体制を平時に固める: インシデントが起きてから契約・連絡先を探すのでは遅い。IR の連絡経路と権限委譲を事前に決めておく
• 検知だけで満足しない: インテリジェンスは「気づく力」を高めるが、実際のリスク低減には設定変更・パッチ適用・封じ込めなどの対応が必要
• 最小権限と監査の前提を維持: マネージド防御に委託する場合も、委託先のアクセス範囲を明確化し、監査ログで操作を追えるようにする

関連サービス・比較

Google Cloud のセキュリティでは、設定ミスや脅威を検出する Security Command Center が「自社環境の中で何が起きているか」を見るのに対し、Mandiant は「外の世界で攻撃者が何をしているか」という知見を持ち込みます。両者は補完関係にあります。

ハンズオン / CLI例

Mandiant の中核は専門家サービスとインテリジェンス配信であり、操作の多くはポータルや API、統合先の製品で行います。下記は Google Cloud のセキュリティ運用（SecOps / Security Command Center）と組み合わせて使う際の周辺操作の例です。

# Google Cloud のセキュリティ関連 API を有効化する（SCC の例）
gcloud services enable securitycenter.googleapis.com

# 組織配下のアクティブな高重大度 Finding を確認し、調査の起点にする
gcloud scc findings list ORGANIZATION_ID \
  --filter="state=\"ACTIVE\" AND severity=\"CRITICAL\""

# 重大な Finding を Pub/Sub に通知し、対応ワークフロー（IR 連携等）につなぐ
gcloud scc notifications create critical-alerts \
  --organization=ORGANIZATION_ID \
  --pubsub-topic=projects/my-project/topics/sec-findings \
  --filter="severity=\"CRITICAL\" OR severity=\"HIGH\""