※本ブログは、マカフィー社 エグゼクティブバイスプレジデント 兼 CTOのマイケル・フェイによるものです
「高度なマルウェアに関する神話」の第1話では、「課題は、高度なマルウェアは検知できないということだ」という神話を取り上げました。そして、この神話は偽りであると結論を下しました。なぜなら、高度なマルウェアは「検知可能」だからです。ただし、マルウェアを検知するだけでは問題の完全な解決にはなりません。それらをブロックし、受けた損害を修復することが、本当の課題なのです。
検知、ブロック、修復という3つのセキュリティ目標をすべて達成する唯一の方法は、脅威対策の様々な側面に対処可能な、統合され、一体化されたセキュリティソリューションを実装することです。
サンドボックスは、「オフライン」で使える素晴らしい検知ツールであり、未確認ファイルや疑わしいファイルを仮想環境に隔離することで、詳細を分析します。分析は複雑で、完了するまでに時間がかかるため、サンドボックスはリアルタイムの技術とは言えません。実際のところ、大半のサンドボックスではファイルの「コピー」だけが分析対象であり、分析中にもオリジナルファイルは標的とするエンドポイントに辿りついてしまいます。したがって、疑わしいファイルが悪質であると判明したところで、実ファイルは既にエンドポイントに到達し、損害を与えているのです。
この点において、サンドボックスでは疑わしいファイルが悪質かどうか特定はできるものの、実際はブロックしていません。
その上、サンドボックスは高価なため、通常はシステム環境の入口ポイントの1つに配備することから始め、徐々に導入されていきます。他の入口ポイントから忍び込んだ高度なマルウェアは検知できません。真にセキュアな技術とは、ネットワークの全ポイントにおいてマルウェアを検知、ブロックできるもののことであり、各ポイントで追加ハードウェアを必要としないことが望まれます。
では、このセキュリティ水準にはどのようにして到達できるのでしょうか?
すべての入口ポイントに「セキュリティ」が必要であり、ブラックリストに載ったファイルをブロックする技術も必要なのは明らかです。サンドボックスソリューションには追加機能としてファイルブロックが搭載されており、それが十分に機能すると仮定した場合、次の2つの選択肢があります。1つ目は、この技術を全入口ポイントに実装するという、高コストになる可能性のある手法です。2つ目は、これらの入口ポイントに実装済みの既存セキュリティ製品から疑わしいファイルを一元的に抽出、分析するソリューションを活用することです。
この2つ目の手法が可能であれば、スケールメリットが高まり、より少ない投資で、より強力なネットワークが実現することができます。
結局サンドボックスは、リアルタイムでマルウェアを分析、ブロックする従来型セキュリティとは異なり、リアルタイムでは作動しません。検知は可能ですが、ブロックと修復はできません。
高度な脅威を目前にして、サンドボックスが真に有益であるためには、高度に統合、一体化されたセキュリティ環境の一環として展開されなくてはなりません。複数の入口ポイントに対応し、検知した新しいマルウェアの存在についての警告を運用環境にフィードバックでき、そして可能ならば、マルウェアをブロックし、損害の発見前にそれを修復するものである必要があります。
サンドボックスは機能であり、完成された製品ではありません。真の解決策には、エンタプライズ全体にわたり高度なマルウェアを検知、ブロック、修復可能な他のセキュリティ技術や製品との深い統合が必要です。このような必須機能の追加がなくては、高度なマルウェアは重大な脅威であり続けます。
『サンドボックスがあればマルウェアはブロックできる』という神話は崩れました。
関連記事
- [2014/02/27] 高度なマルウェアに関する神話 第7話―『”階層化”は最大の防御である』
- [2014/02/13] 高度なマルウェアに関する神話 第6話―『高度なマルウェアを検出すれば脅威を阻止できる』
- [2014/01/29] 高度なマルウェアに関する神話 第5話: 『エンドポイントの保護は効力がない』
- [2014/01/16] 高度なマルウェアに関する神話 第4話: 『サンドボックスはすべてを検知する』
- [2013/12/27] 高度なマルウェアに関する神話 第3話: 『どのベンダーでも同じである』
- [2013/11/25] 高度なマルウェアに関する神話 第1話: 『課題は、高度なマルウェアは検知できないということだ』
※本ページの内容はMcAfee Blogの抄訳です。
原文:Myths of Advanced Malware — Myth #2: Sandboxing Blocks Malware
