セキュリティの
学び場

サンドボックス＝砂場、その用途とは

突然ですが、コンピュータセキュリティの世界にも『サンドボックス』と呼ばれる「砂場」が存在しているのはご存じでしょうか。

もちろん、ITの世界ですから、文字通りに砂の建造物を作ったり誰かが遊ぶためのものではありません。

しかし、実際の公園の砂場と同様に「自由にして良い」という共通点があるもの、それがコンピュータセキュリティにおけるサンドボックスです。

先述の通り、サンドボックスは「自由にして良い」という要件を持ちます。これはすなわち、「サンドボックスの中でどのような操作、動作が行われても、本体のコンピュータに影響を及ぼさない領域である」ということを意味します。

多くの場合、アンチマルウェアソフトがこのようなサンドボックス機能を持ち合わせています。

例えば、電子メールで悪意のあるプログラム（マルウェア）を含む添付ファイルが送信されてきたとしましょう。アンチマルウェアソフトはそのファイルを検閲し、過去に検出したマルウェアと同じハッシュ値ではないか、ファイルの中身に悪意のあるプログラムや通信先が含まれていないか、アンチマルウェアが保有するシグネチャパターン（マルウェアの情報・特徴）との照合によるチェックを行います。この時に検出対象となった場合、利用者はファイルを実行、閲覧することなく、マルウェアは駆除されることでしょう。

一方、これが特定企業を狙ったAPT攻撃（標的型攻撃）だった場合、もしくはパッチリリース前の脆弱性を狙ったゼロディ攻撃だった場合を見てみましょう。特定の企業向けに巧妙にカスタマイズされたマルウェアだった場合、マルウェアのシグネチャパターンに合致しないように細工されていることが想定され、容易に検出を行うことができません。またゼロデイ攻撃の場合も同様で、パッチリリースまでの脆弱性に関する情報も乏しいため、マルウェアに関する情報もないことから検出は困難でしょう。

このようなマルウェアを無害化するための機能が「サンドボックス」です。

これらシグネチャパターンに合致しないファイルが存在した場合、アンチマルウェアソフトはまず「サンドボックス」の中で展開・実行し、対象のファイルがどのような動作を行おうとするのか、またどこに通信を行おうとするのかなどを監視します。先述の通り、サンドボックスは影響範囲が隔離された環境ですので、どのような動作が行われても無害です。
サンドボックスでマルウェアを自由に遊ばせ、その動作を監視することで、その安全性を確認することができます。

クラウドサンドボックス、その利点とは？

それでは、『クラウドサンドボックス』とはどのようなものなのでしょうか。サンドボックスについては前の項目で説明した通りですが、そのサンドボックスの特性をクラウド環境に用意したものが、読んで字のごとくクラウドサンドボックスです。

その利点は以下の通りです。

また、UTM、次世代F/Wなど他のセキュリティ製品の機能の一つとして動作する場合もあり、サンドボックスで検出した内容を連携することでより強固な環境にすることが可能です。

まとめ

特定の企業を狡猾に狙うAPT攻撃やゼロデイ攻撃が増加し、多種多様な亜種が生み出されるEmotetやWannaCryなどのマルウェアが猛威を振るうインターネット空間において、既存のマルウェア対策ソフトのみで安全性を担保するには困難です。

サンドボックスに代表されるような最新のマルウェア対策技術を適切に活用することで未知の脅威から情報資産を守るとともに、定期的な脆弱性診断による既知の脆弱性への対策も重要です。

未知の脆弱性からの脅威を適切に防御し、既知の脆弱性を定期的に洗い出す診断が実施できているか、セキュリティ対策を今一度見直してみてはいかがでしょうか。