数多くの企業において、セキュリティ対策を重要な経営課題としてあげており、さまざまな対策を実施しています。高度なセキュリティ対策を行うためには、セキュリティに対する知識を身につけなければいけません。
そこで今回は、サイバー攻撃の一種である「標的型攻撃」の有効な対策手法として知られている「サンドボックス」についてご説明します。従来型のセキュリティとの違いや、サンドボックス型のメリット・デメリットと併せて、サンドボックスに続く次世代型のセキュリティシステムもご紹介します。
悪質なマルウェアから自社の重要な情報を守るためにも、セキュリティシステムの仕組みや役割を理解して、より強固なセキュリティ対策を行いましょう。
ページコンテンツ
サンドボックスとは
セキュリティ対策について調べたとき、「サンドボックス」という単語をよく目にするでしょう。セキュリティ対策の手法の一つとして注目を浴びているサンドボックスは、どのような仕組みでマルウェアからの攻撃を防いでいるのかご紹介します。
サンドボックスの語源・仕組み
サンドボックスとは、セキュリティ対策の一種として知られている物です。子供が遊ぶ「砂場」が語源となるサンドボックスは、プログラムを自由に動かせるボックスを用意して、攻撃されてもいい仮想環境を構築します。
その隔離された仮想環境の中で、未確認のファイルや疑わしいファイルを動作して動きに異常がないかを分析します。分析を行う際に、サンドボックス内でファイルのプログラムが暴走したり、悪質なマルウェアがデータに干渉しようとしたりしても、サンドボックス内であれば外の重要なデータに影響を与えることはできません。
このような仮想環境を構築する仕組みで、サンドボックスはシステムを不正なプログラムから守っています。
サンドボックスが注目される理由
サンドボックスが注目されている理由には、標的型攻撃などのサイバー攻撃が多様化してきているという背景があります。標的型攻撃とは、特定の機関を狙ったサイバー攻撃のことを指します。よく見られる手法としては、普通の業務メールに見せかけた悪意あるメールを送りつけて、そのメールに添付しているファイルをクリック、または実行させてマルウェアに感染させるという流れです。
このような標的型攻撃に有効的な対処法として、サンドボックスは世界中の企業から注目されています。しかし、注目されている手法だからといって、全てのサイバー攻撃がサンドボックスで防げるわけではありません。よりセキュリティ対策の精度を上げるためには仕組みをしっかりと理解して、最適な方法を選ぶことが大切です。
サンドボックス型と従来型との違い
サンドボックスの仕組みについてご説明しましたが、従来型のセキュリティ対策とサンドボックスにはどのような違いがあるのかも確認しておきましょう。
従来のセキュリティ対策の仕組み
従来型のセキュリティは主に「シグネチャ」という仕組みを使い、ファイルに問題がないかを調べていました。シグネチャは、サイバー攻撃の攻撃パターンをデータベース化して、その攻撃パターンと一致する怪しいファイルを排除するという仕組みです。
現在でもシグネチャは不正なファイルを検出するのに有効な手段ではありますが、シグネチャが検出できるマルウェアは解析が完了している物のみです。そのため、新しいマルウェアや従来のマルウェアを少し変更した物は対処できないというデメリットがあります。
サンドボックス型のメリット
従来型のセキュリティ対策の仕組みと見比べながら、サンドボックス型の強みを見ていきましょう。サンドボックス型は、一度ファイルの動作を確認して問題があるかどうかを判断するため、未知の不正プログラムにも対処できるというメリットがあります。また、ファイル自体をスキャンして分析するよりも、実際ファイルの動作を検証する方が攻撃を受けているかどうかの判断を素早く行えます。
サンドボックス型の問題点
サンドボックス型は標的型攻撃の対処に高いセキュリティ効果を発揮しますが、最近は、サンドボックスを回避するマルウェアも登場しており、サンドボックスのセキュリティが突破される被害もあります。サンドボックスを回避するマルウェアはいくつかありますが、「Locky」、「KeRanger」、「Shamoon/Disttrack」などが有名です。また、サンドボックス型はシグネチャベースの物よりは早い分析ができますが、全く時間がかからないわけではありません。
また、この解析を回避するマルウェアも存在し、分析中にエンドポイントにたどり着かれてしまう可能性もあります。このようなセキュリティ対策を回避する新しいマルウェアからの攻撃対策のためにも、サンドボックスは他のセキュリティと組み合わせて運用するのがベストといえるでしょう。
サンドボックスを回避する次世代型セキュリティシステムも登場
サンドボックスを回避するための新しいマルウェアが登場する中で、セキュリティシステムもどんどん進化しています。そこで、こちらではサンドボックスとは異なる次世代型セキュリティシステム「AppGuard」の特徴をご紹介します。サンドボックスだけでは防げないマルウェアから大切な情報を守ってくれるでしょう。
次世代型セキュリティ「AppGuard」とは
セキュリティ対策を行う際は、システムへの侵入を防ぐことが大切ですが、侵入されてしまった後の対策も重要です。そこで注目されているのがシグネチャやサンドボックスとは違う次世代型セキュリティの「AppGuard」です。サンドボックスのような攻撃を検知するタイプではなく、攻撃を受ける前に脅威の対象を遮断する完全防御型のセキュリティシステムです。
特徴1.確かな実績
「AppGuard」は確かな実績を持つセキュリティシステムです。米国政府機関のセキュリティ対策にも使用されており、20年間突破されていないという実績を持ちます。検知型だけでは防げない不正なプログラムから、システムをしっかりと防御します。
特徴2.堅固な防御システム
「AppGuard」には特許技術の“アイソレーションテクノロジー”が用いられており、悪質な影響を及ぼすリスクが高いアプリケーションをコンテナに隔離しながら動作を監視します。アプリケーションが不正な動きをした場合も隔離しているため、エンドポイントを攻撃から守れます。また、「プロセスの自動継承」によって親プロセスから派生する子プロセスにも自動でポリシー継承して隔離されるため、より堅固な防御システムとなっています。
特徴3.動作が軽量
従来のセキュリティは基本的に検知や駆除を目的としておりましたが、「AppGuard」は不正なプログラムからの攻撃を防ぐことを重視しているセキュリティシステムです。防御型は検知や分析をしないため、動作が軽量で容量やメモリの消費が少ないのも一つの特徴としてあげられます。また、1MB以下という非常に軽いエンジンで動いているため、動作が速く、攻撃を未然に防ぎます。
サンドボックスを有効活用しましょう
このたびは、セキュリティ対策の一つである「サンドボックス」について解説しました。サンドボックスのメリット・デメリット、従来型との違いなどを見ると、サンドボックスは標的型攻撃に非常に効果的な対策手法ということができます。サンドボックスだけで全ての脅威を防げるわけではありませんが、セキュリティ対策の有効な手段の一つとして、ぜひこの機会に検討をしてみてはいかがでしょうか。