多様化するサイバー攻撃の脅威から、自社の情報システムをどう守ればよいかお悩みのセキュリティ担当者の方へ。未知のマルウェアからの防御策として有効なサンドボックスについて、導入メリットや比較のポイントなどを解説します。
“サンドボックス製品”の 一括資料ダウンロードする(無料)
サンドボックスは、システム上に設けられた、他のシステム構成要素から隔離された仮想環境のことです。本環境でのマルウェア感染などを防止するために利用されています。
サンドボックスは他の環境と隔離されているため、たとえマルウェアに感染したとしてもネットワーク上の他のサーバーやPCに影響を及ぼすことがありません。その特性を利用して、マルウェアが疑われる怪しいメールやファイルがあった場合、まずサンドボックスの中でプログラムを実行。問題がないことを確認することで、マルウェアの感染を防ぐことができます。
クラウド型で提供される場合がほとんどですが、中にはオンプレミス型のサンドボックス製品も存在します。クラウド型の方が管理・運用しやすいですが、オンプレミス型にもインターネットを介さず自社内だけで解析できるというメリットがあります。自社の情報管理に即した方を選びましょう。
一般的なウイルス対策サービスは、発見済みのマルウェアを解析したシグネチャと呼ばれるデータベースの情報にもとづいて、マルウェアを排除します。すなわち、シグネチャに定義されていないプログラムは、それがいかに悪意ある挙動をするものであっても、通常のウイルス対策サービスでは攻撃を防ぐことができません。
また、OSやソフトウェアで脆弱性が発見された場合、修正プログラムの作成など、脆弱性への対策がなされるまでにはタイムラグがあります。修正プログラムが適用されるまでの間に、これらの脆弱性をついた「ゼロデイ攻撃」も、通常のウイルス対策サービスでは防ぐことはできません。
こうした未知のマルウェアやゼロデイ攻撃に対処するために、近年期待されているのがサンドボックスです。本記事では、サンドボックス製品についてメリットや比較ポイントを、おすすめのサービスを交えながら紹介していきます。
サンドボックス製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“サンドボックス製品”の 一括資料ダウンロードする(無料)
サンドボックスの主なメリットは、以下の通りです。
すでに触れたように、シグネチャのパターンマッチングに頼るウイルス対策サービスは、既知のマルウェアによる攻撃しか防ぐことができません。それに対してサンドボックスは、隔離環境内で実際にプログラムを実行させて、その挙動に悪意がないかどうかを判定します。従って、シグネチャに未定義の未知のマルウェアであっても、サンドボックスは効果的に検知することができます。
多様化する一方のサイバー攻撃のなかでも、特定のターゲットを狙った標的型攻撃では、シグネチャに未定義の新規のマルウェアが用いられるケースが多くを占めます。従って、シグネチャのパターンマッチングに頼った方式では攻撃を防ぐことが難しく、サンドボックスのように未知の攻撃を検出できる防御策が必要になります。
こちらもすでに触れたように、通常のウイルス対策サービスはゼロデイ攻撃に対して有効ではありません。プログラムの挙動を見て、当該プログラムの悪意の有無を判定するサンドボックスは、ゼロデイ攻撃への防御策としても有効です。
サンドボックスを選ぶ際に注目したい、4つの比較ポイントを解説します。
まずは、サンドボックス製品が自社の環境で使えるかどうかの確認のために、対応しているOSやファイルのタイプ、通信プロトコルに注目しましょう。OSではWindowsとMacのiOSの両方に対応しているか、それともWindowsのみでよいのか。ファイルの場合は、OfficeファイルやPDF、EXE、ZIPなど、プロトコルはHTTP/HTTPS、SMTP、FTPに加えて、IMAPやSMBなどを含むかどうか、想定している攻撃をきちんと防げるかを確認しましょう。
サンドボックス製品の中には、網羅的に使えるものもあれば、一部のプロトコルに特化したものあります。たとえば、メールに特化したサンドボックスのサービスとして、メールゲートウェイサービスの「Symantec Email security.cloud Service」があります。
サンドボックス製品の検査処理性能とコストのバランスにも注意が必要です。受信するメールや、ウェブからダウンロードするファイルをすべて検査対象にする場合、対象の従業員数が多いほど、検査処理数が膨らんできます。自社にとって必要な検査処理性能を持った製品やサービスを選ぶようにしましょう。もちろん、セキュリティの面では処理性能が高いに越したことはありませんが、その分コストも高くなるので、処理性能とコストのバランスにも注意して、自社にとって最適な製品・サービスを選ぶようにしましょう。
サンドボックスは、未知のマルウェアや標的型攻撃、ゼロデイ攻撃への対抗策として有効ですが、一度検出した脅威については、その後の侵入をブロックしてくれる機能を持ったものもあります。「WildFire」は、同じパロアルト社のPAシリーズのファイアウォールに、検出したマルウェアのシグネチャを配信し、その後の攻撃を防いでくれます。
サンドボックスは導入すれば終わりではありません。サンドボックスで検出した脅威のデータをもとに、日々どのような脅威が発生しているのかの傾向を分析して、セキュリティの対策を立てることも必要です。「マルウェア検知サービス」を提供する株式会社レイ・イージスは、社内にホワイトハッカーを抱え、最新のマルウェア情報を調査・収集する分析サポートにも強みがあります。
“サンドボックス製品”の 一括資料ダウンロードする(無料)
(出所:Trellix(旧FireEye)Detection On Demand公式Webサイト)
2022年、サイバーセキュリティ業界の世界的なトッププレイヤーであったMcAfee Enterpriseと、FireEye Securityの2社が統合して新たに生まれたブランド。Box・Teamsなどの複数のクラウドサービスと連携して、怪しいファイルは即時に検査。悪性判定されたファイルをクラウドサービスで指定した隔離フォルダへ隔離。完全クラウド型のサービスのため導入・運用に手間がかからないのがポイント。
(出所:マルウェア検知サービス公式Webサイト)
サンドボックスを内蔵したマルウェア検知システム。レイ・イージス社内にホワイトハッカーを抱え、最新のマルウェア情報を調査・収集することで、高いマルウェア検出力を維持している。加えて、独自開発のAIエンジンで、アンチウイルスソフトやEDRでは検出が困難な不正コードやマルウェアを検出する。既知のマルウェアだけでなく、独自開発のAIエンジンによる「表層解析」「静的解析」「IP/URLレピュテーション確認」「動的解析」によって、 亜種や新種(ゼロデイ攻撃)の挙動も検知することができる。
(出所:SandBlast TE Appliances公式Webサイト)
AIベースの独自機能による高度なゼロデイ保護を実現する脅威防止ソリューション。「Threat Emulation (脅威エミュレーション)」「Threat Extraction (脅威抽出)」など、未知のサイバー脅威を強力に阻止する機能を搭載。CPUレベルの検査とOSレベルのサンドボックス分析を組み合わせることで、収集された何百万ものパラメータを分析し、未知のマルウェアの脅威レベルを高精度で判断できる。メールやWeb上に埋め込まれた悪意のあるドキュメントや画像などの無害化にも対応。ユーザーの操作に関わらず、怪しいコンテンツを安全な状態に数秒で変換できるのが心強い。
手動設定なしのワンクリックセットアップで、セキュリティ管理の管理負荷を軽減できるのも便利だ。
(出所:MetaDefender Sandbox公式Webサイト)
検出対象に応じて制御フローを変化させる独自の適応型分析により、難読化されたマルウェアも90%以上の確率で検知、15秒以内に解読。実行ファイル、ドキュメント、スクリプト、URLなどを解析し、クラウド次第では1日あたり25,000以上のファイルを処理可能だ。攻撃の痕跡をデータベースと照合して分析し、結果をわかりやすく、かつ詳細にレポート化。PDFなどに変換もでき、社内共有もスムーズだ。
様々な企業システムに対応する汎用性もあり、簡単に導入できるのもうれしい。
(出所:WildFire公式Webサイト)
次世代ファイアウォールのPalo Alto Networks PA-シリーズは、サンドボックス環境であるWildFireで未知のマルウェア対策が可能。WildFireでは、PA-シリーズを通過したファイルの自動分析を行い、悪意ある振る舞いの有無を監視する。管理者は、どのユーザーがターゲットだったか、どのアプリケーションが使われていたかなど、確認された悪意ある振る舞いやその詳細な分析結果をポータルで確認できる。
また、検知したマルウェアの侵入警告やブロックをするために、ファイアウォールへのシグネチャ配信(検知後おおよそ5分)を自動的に行う。
(出所:Sophos Firewall公式Webサイト)
「Sophos Firewall」シリーズの中で、「Sophos Sandstorm」というサンドボックス機能を提供している。Sophos Sandstormは、ランサムウェアやデータを盗み出そうとする未知のマルウェアを、ネットワークから排除する。クラウドベースのパワフルな保護機能を特徴とするサンドボックステクノロジーを搭載しており、APT(高度で持続的な標的型脅威)やゼロデイ攻撃を迅速かつ正確に検知・ブロックする。
(出所:Symantec Email security.cloud Service公式Webサイト)
クラウド型のメールゲートウェイセキュリティサービス。リンクと添付ファイルを検査することにより、スパムとマルウェアから防御する。また、異常なSMTP接続を検出すると、当該の通信を遮断し、スパムやマルウェアのリスクを軽減する。さらに、疑わしい添付ファイルを分離することで、ランサムウェアやその他のマルウェアがユーザーに感染するのを防ぐ。サンドボックスの機能としては、Office文書やPDF、Java、コンテナ、実行可能ファイルなど、通常業務で開く可能性があるものはカバーしている。
(出所:スーパーセキュリティ for Business公式Webサイト)
高い防御性で幅広い脅威に対応できるエンドポイントセキュリティソフト。ウィルス対策やランサムウェア対策、ブルートフォース攻撃やパスワードスティーラーなどのネットワーク攻撃防御、ゼロディ攻撃を含むエクスプロイト防御、ふるまい監視など、充実した機能を備えたEPP版を基本に、サンドボックス、及びサイバー攻撃調査・検知・分析・インシデント対応を備えたEDR版を提供。既知・未知の脅威の検知・対応はもちろん、脆弱性を把握できるリスク分析機能やWebフィルタリングといった予防機能も充実し、エンドポイント・ネットワーク両方のセキュリティ対策に対応可能だ。
Webブラウザ上の管理コンソールで、社内外の端末の一括管理できるのも強み。20種類以上のレポート作成が可能で、脅威のを発見した後の対応もスムーズだ。
(出所:ESET LiveGuard Advanced公式Webサイト)
未知の高度なマルウェアに対する検出力・防御力を高めるクラウドサービス。メールやWebブラウザ経由で発見された不審なファイルは、クラウド上のサンドボックスでの検査が完了するまでファイルを開けない「プロアクティブ保護(先回りした防御)」を実現している。クラウド型であるため、ハードウェア不要、エージェント不要で手軽にサンドボックス環境を実装できる。
サイバー攻撃は日に日に多様化しており、事前に定義されたシグネチャにもとづくパターンマッチングによる防御では対応しきれなくなっています。このような未知の脅威から情報システムを守るのが、サンドボックスの大きな役割です。システムの他の構成要素から切り離されたサンドボックスでプログラムを実行することで、その振る舞いから、そのプログラムがマルウェアであるかどうかを判定します。
サンドボックスを選ぶうえでは、対象となるOSやファイルの種類、通信プロトコルといった、サンドボックスでの動作検証の対象範囲が、想定している攻撃を防ぐのに十分かをまず確認しましょう。加えて、サンドボックスの検査処理性能とコストのバランスにも注意が必要ですし、サンドボックスで検出したマルウェアについて、その後の侵入を防いでくれるかも確認しておきましょう。
また、サンドボックスは導入すればそれで終わりというわけではありません。サンドボックスで検出した脅威のデータをもとに、日々どのような脅威が発生しているのかの傾向を分析して、セキュリティの対策に役立てられるように、分析サポートがあるかどうかも確認が必要です。
こうした点に注意して、サイバー攻撃の被害に遭う前に、サンドボックスの導入をぜひ検討してみてください。
サンドボックス製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“サンドボックス製品”の 一括資料ダウンロードする(無料)
株式会社レイ・イージス・ジャパン
AI Sandboxを利用した不正コード・マルウェア検知サービス。独自の4フェーズの処理を通して、既知のマルウェアだけでなく、ウィルススキャンやEDRなどでは検...
Symantec Email security.cloud Service(ESS)
SB C&S株式会社
世界売上シェア No.1のクラウド型メールセキュリティサービス。民間最大級の圧倒的なデータ量で高い検知率を実現し、Emotetや標的型攻撃、ランサムウェアなどの...
ソースネクスト株式会社
世界トップクラスの防御力・軽い動作性を持ち、低コストで使えるエンドポイントセキュリティソフト。一括管理やレポート機能もあり、効率化とセキュリティ強化を支援します...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
