近年のセキュリティ脅威の高度化により、サンドボックスを採用する企業が増えています。サンドボックスはサイバー攻撃対策として独特な働きをする仕組みです。この記事では、企業・組織のセキュリティ対策におけるサンドボックスの概要とメリット・デメリット、また国内での導入事例を紹介していきます。
サンドボックスとは
サンドボックス(日本語で「砂場」)とは、コンピュータの中に作られた独立して稼働する仮想環境のことで、セキュリティ製品などに活用される仕組みを指します。サンドボックスの中身は疑似的に作られたコンピュータ環境で、ここでは、実際のコンピュータ環境のようにアプリケーションを動作させることができます。
主に、下記の用途で使用されることが多いです。
- 不審なファイル・プログラムの安全性評価・分析
- プログラムの開発におけるステージングサーバ
また、モバイル端末やブラウザにおけるリスク回避の方法としても利用されます。
セキュリティ分野では、前者、不審なファイル・プログラムの安全性評価・分析が主な目的です。
先述の通り、サンドボックスはコンピュータ内で独立して稼働しているため、もしその中で不正な操作が実行されたとしても、サンドボックス外の環境に影響が及ばないようになっています。
サンドボックスの仕組み
サンドボックスは、コンピュータ内で、攻撃されてもいい仮想環境を構築する、という仕組みです。未確認のファイルや疑わしいファイルを動作させ、異常な挙動をしていないか監視・分析します。
他の不正検知技術としては、既知のマルウェアパターンにマッチするか否かで検地をおこなうパターンマッチングが代表的ですが、サイバー攻撃の手法も日進月歩に巧妙化しており、いわゆる未知のウイルスが毎日生み出されています。また、ふるまい検知では、遠隔操作型マルウェアや事故拡散型マルウェアの検知に特化しており、例えば定期的に話題に上るEmotet等の脅威は検知できません。
そこで、サンドボックスを利用し、プログラムを実際に動かしてみることで、未知のウイルスであっても高い確率で監視・分析、検知することができます。
また、非常に危険視される脅威として、標的型攻撃がありますが、サンドボックスはこの標的型攻撃に有効であるといわれます。標的型攻撃は特定の企業や組織を標的にしてなされる攻撃ですので、使用されるマルウェアも個別に作られた未知のものである場合が多く、サンドボックスでの検知が対策として優位になってきます。
サンドボックスのメリット
サンドボックスのメリットは次の2つです。
- 不正プログラムを実際に動かしてみて分析・対処できる
- 未知のマルウェアも検知できる
安全な環境下で動作確認・分析が可能
サンドボックスは独立して稼働する仮想環境ですので、中でマルウェアが作動しても、サンドボックス外にまで被害が飛び火することや、外部との通信によってコンピュータ内の情報が漏えいする、といったことは基本的にはありません。
ツールにもよりますが、サンドボックスには動作させたファイルの分析をする機能がついていますので、詳細な分析・評価をしてくれます。その結果をもとに、駆除・対処に取り組みましょう。
未知のマルウェアに対応可
先にもお伝えした通り、サンドボックスはパターンマッチングなどとは異なり、そこにあるファイル・プログラムを実際に動かすことで脅威かどうかを判断します。
そのため、おとり捜査や現行犯逮捕のようなもので、未知のマルウェアも見逃しません。
サンドボックスでの分析をもとに、類似のマルウェアへの対策を図ることもできるでしょう。
サンドボックスのデメリット
サンドボックスのデメリットは次のとおりです。
- サンドボックスを回避するマルウェアもある
- 動作の検出・分析にタイムロスがある
- 高額なコストがかかる
サンドボックスを回避する脅威の存在
サンドボックス自体、実は20年以上前に確立された仕組みであるため、攻撃者たちにとってもその存在はある程度ポピュラーなものです。また、サンドボックスはあくまで仮想環境であり、実際の本番環境とは多少使用が異なる場合が多いです。
マルウェアの中には、置かれた環境がサンドボックスであることを見抜き、不正な挙動をせずおとなしくしていて、本番環境のみで起動するものや、サンドボックスで検証されることを見越して一定時間作動しないようになっているものもあります。
サンドボックスで安全なプログラムだと判断されても、100%安心はできないことに留意しましょう。
動作の検出・分析のタイムロス
サンドボックスでプログラムの挙動を検出・分析するには一定の時間、場合によってはかなりの長時間を要します。
その間、業務がストップしてしまうことも想像に容易いですし、サンドボックスでの分析中に攻撃を受けてしまうリスクもあります。
サンドボックスは不審なファイル・プログラムをコピーして仮想環境内で動作させるため、もし分析に時間がかかっている間にコピー元のファイル・プログラムが作動してしまった場合、本番環境が危険にさらされます。
高額なコスト
サンドボックスには多大なコストを要します。導入には基本的に数百万円から、1000万円以上するものも中にはあります。また、本記事では簡単に説明していますが、なかなか複雑で、適切な運用には専門的な知識やスキルを要します。その業務を委託するとなると、その分の人件費もかかってきます。
ただ、企業の情報漏えいは1回につき4億円の損失とも言われるほど、かなりリスクのあることであり、それを高い確率で回避するために払うコストとしては、首肯できるのかなと個人的には思います。
自社システムや事業の規模を考慮し、可能な限り導入しておくに越したことはありません。
サンドボックスの導入事例
社内システムにサンドボックスを導入するには多額のコストがかかります。サンドボックスの導入にあたり、どのような点を考慮し、運用していくべきなのか、国内の事例をもとに説明します。
セキュリティシステム連携でリスク抑制を図る
ある大学病院は電子カルテなど先進のICTの活用やセキュリティに努めていましたが、近年増加する未知の脅威に危機感を持っていました。シンクライアントパソコンで院内システムとネットワークの双方に接続する構成で、ネットワークセグメントを分離する対策をしていたものの、万一の事態を想定しサンドボックスの導入を決断したといいます。
サンドボックスの選定にあたって、脅威侵入による医療サービス停止の回避を重視し、水際で脅威を検知するセキュリティ製品群と連携可能なものを採用しました。
サンドボックスはパイロット運用から徐々に適用拡大する方針で、現状は実害を受けるような攻撃は確認されていないとのこと。本運用に入ったら院内でレポートを公開し、職員の意識向上に役立てる予定です。
サンドボックスは自社の環境や用途、事情に応じて選べます。この病院は院内ネットワークの侵入防止のため、セキュリティソフトと連携できるサンドボックスを選定しました。
たとえば標的型メール攻撃に対処したいのなら、メールサーバーに機能を付加できる製品を選定するのも一つの手です。
自社運用を前提とするサンドボックス導入事例
多数の傘下企業を擁するある私鉄グループでは、グループ全体のネットワーク接続を一元化し、さまざまなセキュリティ強化策を実施していました。しかし、標的型攻撃に危機感を抱き組織内調査を実施したところ、未知のマルウェアが検知されるなど対策の必要に迫られました。
そこでオンプレミス(自社運用)を前提として、3つのサンドボックス製品を検討しました。
最終的に、運用負荷を軽減できるように検知能力が高く、危険性に応じたアラート設定で運用難度・工数が少なくて済む製品を選定しました。
サンドボックス導入により自社のみで分析と対策の実施が可能になり、効率化をより進められたといいます。ある程度の規模の企業になると、自社でのログ監視や分析作業が必要になってきます。
会社によって環境やリソースは千差万別で一概にはいえませんが、自社運用を検討しているなら機能性と省力化の両立は外せないでしょう。
まとめ
未知のマルウェア、というとなかなか身近に思えないかもしれませんが、コンピュータの技術発展が十二分に進んだ現在、サイバー攻撃の巧妙化もすさまじく、ただ一企業への標的型攻撃に簡単に新しいマルウェアを開発されてしまいます。
未知のマルウェアも検知できるサンドボックスをぜひご検討ください。
