多様化するサイバー攻撃の脅威から、自社の情報システムをどう守ればよいかお悩みのセキュリティ担当者の方へ。未知のマルウェアからの防御策として有効なサンドボックスについて、導入メリットや比較のポイントなどを解説します。
“サンドボックス製品”の 一括資料ダウンロードする(無料)
サンドボックスは、システム上に設けられた、他のシステム構成要素から隔離された仮想環境のことです。本環境でのマルウェア感染などを防止するために利用されています。
サンドボックスは他の環境と隔離されているため、たとえマルウェアに感染したとしてもネットワーク上の他のサーバーやPCに影響を及ぼすことがありません。その特性を利用して、マルウェアが疑われる怪しいメールやファイルがあった場合、まずサンドボックスの中でプログラムを実行。問題がないことを確認することで、マルウェアの感染を防ぐことができます。
クラウド型で提供される場合がほとんどですが、中にはオンプレミス型のサンドボックス製品も存在します。クラウド型の方が管理・運用しやすいですが、オンプレミス型にもインターネットを介さず自社内だけで解析できるというメリットがあります。自社の情報管理に即した方を選びましょう。
一般的なウイルス対策サービスは、発見済みのマルウェアを解析したシグネチャと呼ばれるデータベースの情報にもとづいて、マルウェアを排除します。すなわち、シグネチャに定義されていないプログラムは、それがいかに悪意ある挙動をするものであっても、通常のウイルス対策サービスでは攻撃を防ぐことができません。
また、OSやソフトウェアで脆弱性が発見された場合、修正プログラムの作成など、脆弱性への対策がなされるまでにはタイムラグがあります。修正プログラムが適用されるまでの間に、これらの脆弱性をついた「ゼロデイ攻撃」も、通常のウイルス対策サービスでは防ぐことはできません。
こうした未知のマルウェアやゼロデイ攻撃に対処するために、近年期待されているのがサンドボックスです。本記事では、サンドボックス製品についてメリットや比較ポイントを、おすすめのサービスを交えながら紹介していきます。
サンドボックス製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“サンドボックス製品”の 一括資料ダウンロードする(無料)
サンドボックスの主なメリットは、以下の通りです。
すでに触れたように、シグネチャのパターンマッチングに頼るウイルス対策サービスは、既知のマルウェアによる攻撃しか防ぐことができません。それに対してサンドボックスは、隔離環境内で実際にプログラムを実行させて、その挙動に悪意がないかどうかを判定します。従って、シグネチャに未定義の未知のマルウェアであっても、サンドボックスは効果的に検知することができます。
多様化する一方のサイバー攻撃のなかでも、特定のターゲットを狙った標的型攻撃では、シグネチャに未定義の新規のマルウェアが用いられるケースが多くを占めます。従って、シグネチャのパターンマッチングに頼った方式では攻撃を防ぐことが難しく、サンドボックスのように未知の攻撃を検出できる防御策が必要になります。
こちらもすでに触れたように、通常のウイルス対策サービスはゼロデイ攻撃に対して有効ではありません。プログラムの挙動を見て、当該プログラムの悪意の有無を判定するサンドボックスは、ゼロデイ攻撃への防御策としても有効です。
サンドボックスを選ぶ際に注目したい、4つの比較ポイントを解説します。
まずは、サンドボックス製品が自社の環境で使えるかどうかの確認のために、対応しているOSやファイルのタイプ、通信プロトコルに注目しましょう。OSではWindowsとMacのiOSの両方に対応しているか、それともWindowsのみでよいのか。ファイルの場合は、OfficeファイルやPDF、EXE、ZIPなど、プロトコルはHTTP/HTTPS、SMTP、FTPに加えて、IMAPやSMBなどを含むかどうか、想定している攻撃をきちんと防げるかを確認しましょう。
サンドボックス製品の中には、網羅的に使えるものもあれば、一部のプロトコルに特化したものあります。たとえば、メールに特化したサンドボックスのサービスとして、メールゲートウェイサービスの「Symantec Email security.cloud Service」があります。
サンドボックス製品の検査処理性能とコストのバランスにも注意が必要です。受信するメールや、ウェブからダウンロードするファイルをすべて検査対象にする場合、対象の従業員数が多いほど、検査処理数が膨らんできます。自社にとって必要な検査処理性能を持った製品やサービスを選ぶようにしましょう。もちろん、セキュリティの面では処理性能が高いに越したことはありませんが、その分コストも高くなるので、処理性能とコストのバランスにも注意して、自社にとって最適な製品・サービスを選ぶようにしましょう。
サンドボックスは、未知のマルウェアや標的型攻撃、ゼロデイ攻撃への対抗策として有効ですが、一度検出した脅威については、その後の侵入をブロックしてくれる機能を持ったものもあります。「WildFire マルウェア分析」は、同じパロアルト社のPAシリーズのファイアウォールに、検出したマルウェアのシグネチャを配信し、その後の攻撃を防いでくれます。
サンドボックスは導入すれば終わりではありません。サンドボックスで検出した脅威のデータをもとに、日々どのような脅威が発生しているのかの傾向を分析して、セキュリティの対策を立てることも必要です。「マルウェア検知サービス」を提供する株式会社レイ・イージスは、社内にホワイトハッカーを抱え、最新のマルウェア情報を調査・収集する分析サポートにも強みがあります。
“サンドボックス製品”の 一括資料ダウンロードする(無料)
(出所:Trellix(旧FireEye)Detection On Demand公式Webサイト)
2022年、サイバーセキュリティ業界の世界的なトッププレイヤーであったMcAfee Enterpriseと、FireEye Securityの2社が統合して新たに生まれたブランド。Box・Teamsなどの複数のクラウドサービスと連携して、怪しいファイルは即時に検査。悪性判定されたファイルをクラウドサービスで指定した隔離フォルダへ隔離。完全クラウド型のサービスのため導入・運用に手間がかからないのがポイント。
(出所:FortiSandbox公式Webサイト)
次世代の機械学習エンジンと深層学習エンジンを内蔵し、振る舞い分析により、新しいマルウェアやランサムウェアの手法を継続的に学習する。それによりマルウェアの挙動指標を自動的に更新し、新しいゼロデイ脅威に対する動的分析検知エンジンの効率と効果を向上させる。新しいマルウェアやランサムウェアの手法を早期に検知し、従来のサンドボックス検知と比較して最大25%のセキュリティの有効性の向上を実現する。
(出所:マルウェア検知サービス公式Webサイト)
サンドボックスを内蔵したマルウェア検知システム。レイ・イージス社内にホワイトハッカーを抱え、最新のマルウェア情報を調査・収集することで、高いマルウェア検出力を維持している。加えて、独自開発のAIエンジンで、アンチウイルスソフトやEDRでは検出が困難な不正コードやマルウェアを検出する。既知のマルウェアだけでなく、独自開発のAIエンジンによる「表層解析」「静的解析」「IP/URLレピュテーション確認」「動的解析」によって、 亜種や新種(ゼロデイ攻撃)の挙動も検知することができる。
(出所:Check Point SandBlast TE Appliances公式Webサイト)
2つの独自機能「Threat Emulation(サンドボックス機能)」と「Threat Extraction(無害化機能)」を搭載する。
Threat Emulationエンジンは、攻撃コードの実行段階でマルウェアを検出し、攻撃者が組み込んだ検出回避技術によるサンドボックスのすり抜けを阻止する。CPUレベルの検査とOSレベルのサンドボックス分析を組み合わせ、危険性の高い攻撃コードやゼロデイ攻撃、標的型攻撃による感染を防止する。
Threat Extractionは、悪用される可能性を持つコンテンツを瞬時に削除し、無害化した状態でユーザーに配信する。アクティブ・コンテンツや各種の埋め込みオブジェクトなど、悪用可能なコンテンツをすべて抽出し、危険性のないコンテンツのみでファイルが再構成される。
(出所:WildFire マルウェア分析公式Webサイト)
次世代ファイアウォールのPalo Alto Networks PA-シリーズは、サンドボックス環境であるWildFireで未知のマルウェア対策が可能。WildFireでは、PA-シリーズを通過したファイルの自動分析を行い、悪意ある振る舞いの有無を監視する。管理者は、どのユーザーがターゲットだったか、どのアプリケーションが使われていたかなど、確認された悪意ある振る舞いやその詳細な分析結果をポータルで確認できる。
また、検知したマルウェアの侵入警告やブロックをするために、ファイアウォールへのシグネチャ配信(検知後おおよそ5分)を自動的に行う。
(出所:Sophos Firewall公式Webサイト)
「Sophos Firewall」シリーズの中で、「Sophos Sandstorm」というサンドボックス機能を提供している。Sophos Sandstormは、ランサムウェアやデータを盗み出そうとする未知のマルウェアを、ネットワークから排除する。クラウドベースのパワフルな保護機能を特徴とするサンドボックステクノロジーを搭載しており、APT(高度で持続的な標的型脅威)やゼロデイ攻撃を迅速かつ正確に検知・ブロックする。
(出所:Symantec Email security.cloud Service公式Webサイト)
クラウド型のメールゲートウェイセキュリティサービス。リンクと添付ファイルを検査することにより、スパムとマルウェアから防御する。また、異常なSMTP接続を検出すると、当該の通信を遮断し、スパムやマルウェアのリスクを軽減する。さらに、疑わしい添付ファイルを分離することで、ランサムウェアやその他のマルウェアがユーザーに感染するのを防ぐ。サンドボックスの機能としては、Office文書やPDF、Java、コンテナ、実行可能ファイルなど、通常業務で開く可能性があるものはカバーしている。
(出所:ESET LiveGuard Advanced公式Webサイト)
未知の高度なマルウェアに対する検出力・防御力を高めるクラウドサービス。メールやWebブラウザ経由で発見された不審なファイルは、クラウド上のサンドボックスでの検査が完了するまでファイルを開けない「プロアクティブ保護(先回りした防御)」を実現している。クラウド型であるため、ハードウェア不要、エージェント不要で手軽にサンドボックス環境を実装できる。
サイバー攻撃は日に日に多様化しており、事前に定義されたシグネチャにもとづくパターンマッチングによる防御では対応しきれなくなっています。このような未知の脅威から情報システムを守るのが、サンドボックスの大きな役割です。システムの他の構成要素から切り離されたサンドボックスでプログラムを実行することで、その振る舞いから、そのプログラムがマルウェアであるかどうかを判定します。
サンドボックスを選ぶうえでは、対象となるOSやファイルの種類、通信プロトコルといった、サンドボックスでの動作検証の対象範囲が、想定している攻撃を防ぐのに十分かをまず確認しましょう。加えて、サンドボックスの検査処理性能とコストのバランスにも注意が必要ですし、サンドボックスで検出したマルウェアについて、その後の侵入を防いでくれるかも確認しておきましょう。
また、サンドボックスは導入すればそれで終わりというわけではありません。サンドボックスで検出した脅威のデータをもとに、日々どのような脅威が発生しているのかの傾向を分析して、セキュリティの対策に役立てられるように、分析サポートがあるかどうかも確認が必要です。
こうした点に注意して、サイバー攻撃の被害に遭う前に、サンドボックスの導入をぜひ検討してみてください。
サンドボックス製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“サンドボックス製品”の 一括資料ダウンロードする(無料)
株式会社レイ・イージス・ジャパン
AI Sandboxを利用した不正コード・マルウェア検知サービス。独自の4フェーズの処理を通して、既知のマルウェアだけでなく、ウィルススキャンやEDRなどでは検...
Symantec Email security.cloud Service(ESS)
SB C&S株式会社
世界売上シェア No.1のクラウド型メールセキュリティサービス。民間最大級の圧倒的なデータ量で高い検知率を実現し、Emotetや標的型攻撃、ランサムウェアなどの...
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。