第6回:今だから学ぶ! セキュリティの頻出用語 : サンドボックスとは?

サンドボックス

セキュリティに対する重要性は理解したけれど、用語が難しくてという声を聞くこともよくあります。そんな方に、連載で、「今だから学ぶ!」と題して、セキュリティの頻出用語を解説します。第6 回は、「サンドボックス」についてです。

従来、サイバー攻撃に対して、シグネチャベースと言われる、過去に認識された攻撃パターンをデータベース化し、1つの攻撃パターンを1つのシグネチャとして管理した上で、怪しいファイルを排除する方式がとられていました。シグネチャベースは現在でも有効な方法ですが、シグネチャベースのセキュリティ対策で阻止できるのは、これまでに知られ、分析が完了した攻撃だけです。

つまり、初めて見つかった未知のマルウェアは検出できず、すり抜けていくようになります。そのため、マルウェア開発者は、高度な『マルウェア対策』の『対策』を行って、シグネチャベースの検査を回避できるようにマルウェアを開発しています。特に、標的型攻撃は、ターゲットとなる企業や組織に合わせてマルウェアを用意し、未知のものとなることも多いため、シグニチャベースの対策は有効ではない時代に入ったと言えるでしょう。

そこで、標的型攻撃対策の手法として注目を浴びている手法が、「サンドボックス」(sandbox) です。

Fotolia_69455542_subscription_mon_2

「サンドボックス」(sandbox) とは、子どもの遊び場としての「砂場」を意味する単語です。それが語源となり、サンドボックスというセキュリティ用語が生まれたとされています。

サンドボックスは、「攻撃されてもよい環境」を仮想環境として構築し、その中で未確認ファイルや疑わしいファイルを隔離した上で動作させ、振る舞いを詳細に分析します。例えば、メールに含まれているURLをクリックしたり、添付ファイルを実行したりといった作業を行います。このため、そのプログラムが暴走したり、外部から侵入した悪質なウイルスであっても、「サンドボックス」の外にあるデータなどに影響を与えることはありません。

しかし、 サンドボックスは、バイナリファイルを分析するよりも素早く判断できるという特徴はありますが、分析が完了するまで時間がかかるため、リアルタイムの技術とは言えません。さらに高度化したマルウェアは、サンドボックス対策として仮想環境上では挙動を変え、実マシン上でのみ動くといった動作や、特定の時間にしか動作しないといったロジックが組み込まれている場合があります。

また、大半のサンドボックスではファイルの「コピー」だけが分析対象であり、分析中にもオリジナルファイルは標的とするエンドポイントに辿りついています。つまり、疑わしいファイルが悪質であると判明したところで、実ファイルは既にエンドポイントに到達しているということなのです。サンドボックスは、標的型攻撃への対策としては、非常に有効なのですが、サンドボックスだけで、すべての対策ができるわけではないことを意味しています。

真の解決策は、企業全体に渡って高度なマルウェアの特定・ブロック・修復を行えるよう、他のセキュリティ技術や製品との統合を行うことが求められます。こうした解決策が行わなければ、たとえ、サンドボックスを活用した製品を導入したとしても、高度なマルウェアは今後も深刻な脅威であり続けます。

マカフィーでは、サンドボックスだけで判断するのではなく、従来の解析手法も効果的に組み合わせるというアプローチを取った製品 McAfee Advanced Threat Defense を提供しています。サンドボックスを用いたマルウェアの動的解析に加え、コードの静的解析によって、検知率の向上を図っていることが特徴です。

 

02_2

McAfee Advanced Threat Defenseによる効果的なマルウェア検知

■関連情報
高度なマルウェアに関する神話 第2話: 『サンドボックスがあればマルウェアはブロックできる』
高度なマルウェアに関する神話 第4話: 『サンドボックスはすべてを検知する』

サンドボックスの一歩先行く標的型攻撃対策


インテル セキュリティのエンドポイント保護ソリューション
http://www.mcafee.com/jp/products/endpoint-protection/index.aspx?view=legacy

ガートナー社の最新のマジック・クアドラント調査レポート
http://www.mcafee.com/jp/independent-reports/gartner-mq-endpoint-protection-platforms.aspx?view=legacy


最新のマカフィーのエンドポイント セキュリティについては、2017 MPOWER:Tokyo (2017年11月9日開催) において、セミナーおよびEXPOにおいてご紹介いたします。ぜひ、ご参加ください。

【カンファレンス概要】

2017 MPOWER:Tokyo

開催日時:  2017年11月9日(木) 8:40~17:30(受付 8:15)
会 場 :  ザ・プリンス パークタワー東京 
参加費 :  無料(事前登録制)
対 象 :  企業、官公庁の情報システム部門・セキュリティ管理者  
  セキュリティ製品の販売店・システム インテグレータの担当者  
主 催 :  マカフィー株式会社  

詳細・お申し込みは ≫ こちらから


第1回:今だから学ぶ! セキュリティの頻出用語 : 標的型攻撃とは?
第2回:今だから学ぶ! セキュリティの頻出用語 : APTとは?
第3回:今だから学ぶ! セキュリティの頻出用語 : ボットネットとは?
第4回:今だから学ぶ! セキュリティの頻出用語 : ランサムウェアとは?

第5回:今だから学ぶ! セキュリティの頻出用語 : マルウェアとは?
第6回:本ブログ
第7回:今だから学ぶ! セキュリティの頻出用語 : バックドアとは?
第8回:今だから学ぶ! セキュリティの頻出用語 : ソーシャルエンジニアリングとは?
第9回:今だから学ぶ! セキュリティの頻出用語 : エンドポイント セキュリティとは?
第10回:今だから学ぶ! セキュリティの頻出用語 : インシデントレスポンスとは?

「今だから学ぶ! セキュリティの頻出用語」アーカイブ