セキュリティ用語 : サンドボックスとは?

サンドボックス

セキュリティに対する重要性は理解したけれど、用語が難しくてという声を聞くこともよくあります。そんな方に、セキュリティの頻出用語を解説します。今回は、「サンドボックス」についてです。

従来、サイバー攻撃に対して、シグネチャベースと言われる、過去に認識された攻撃パターンをデータベース化し、1つの攻撃パターンを1つのシグネチャとして管理した上で、怪しいファイルを排除する方式がとられていました。シグネチャベースは現在でも有効な方法ですが、シグネチャベースのセキュリティ対策で阻止できるのは、これまでに知られ、分析が完了した攻撃だけです。

つまり、初めて見つかった未知のマルウェアは検出できず、すり抜けていくようになります。そのため、マルウェア開発者は、高度な『マルウェア対策』の『対策』を行って、シグネチャベースの検査を回避できるようにマルウェアを開発しています。特に、標的型攻撃は、ターゲットとなる企業や組織に合わせてマルウェアを用意し、未知のものとなることも多いため、シグニチャベースの対策は有効ではない時代に入ったと言えるでしょう。

そこで、標的型攻撃対策の手法として注目を浴びている手法が、「サンドボックス」(sandbox) です。

Fotolia_69455542_subscription_mon_2

「サンドボックス」(sandbox) とは、子どもの遊び場としての「砂場」を意味する単語です。それが語源となり、サンドボックスというセキュリティ用語が生まれたとされています。

サンドボックスは、「攻撃されてもよい環境」を仮想環境として構築し、その中で未確認ファイルや疑わしいファイルを隔離した上で動作させ、振る舞いを詳細に分析します。例えば、メールに含まれているURLをクリックしたり、添付ファイルを実行したりといった作業を行います。このため、そのプログラムが暴走したり、外部から侵入した悪質なウイルスであっても、「サンドボックス」の外にあるデータなどに影響を与えることはありません。

しかし、 サンドボックスは、バイナリファイルを分析するよりも素早く判断できるという特徴はありますが、分析が完了するまで時間がかかるため、リアルタイムの技術とは言えません。さらに高度化したマルウェアは、サンドボックス対策として仮想環境上では挙動を変え、実マシン上でのみ動くといった動作や、特定の時間にしか動作しないといったロジックが組み込まれている場合があります。

また、大半のサンドボックスではファイルの「コピー」だけが分析対象であり、分析中にもオリジナルファイルは標的とするエンドポイントに辿りついています。つまり、疑わしいファイルが悪質であると判明したところで、実ファイルは既にエンドポイントに到達しているということなのです。サンドボックスは、標的型攻撃への対策としては、非常に有効なのですが、サンドボックスだけで、すべての対策ができるわけではないことを意味しています。

真の解決策は、企業全体に渡って高度なマルウェアの特定・ブロック・修復を行えるよう、他のセキュリティ技術や製品との統合を行うことが求められます。こうした解決策が行わなければ、たとえ、サンドボックスを活用した製品を導入したとしても、高度なマルウェアは今後も深刻な脅威であり続けます。

マカフィーでは、サンドボックスだけで判断するのではなく、従来の解析手法も効果的に組み合わせるというアプローチを取った製品 McAfee Advanced Threat Defense を提供しています。サンドボックスを用いたマルウェアの動的解析に加え、コードの静的解析によって、検知率の向上を図っていることが特徴です。

 

02_2

McAfee Advanced Threat Defenseによる効果的なマルウェア検知

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速