未知の脅威に対応可能!サンドボックスの仕組みと導入事例

この記事は約6分で読めます。

近年のセキュリティ脅威の高度化により、サンドボックスを採用する企業が増えています。サンドボックスは従来のセキュリティ対策とは異なるアプローチで脅威に対処するツールです。この記事ではサンドボックスの概要とメリット・デメリット、また国内での導入事例を紹介します。

サンドボックスとは

サンドボックス(日本語で「砂場」)とは、プログラムを実行しても本番環境やシステムデータに影響を及ぼさない隔離された仮想環境を指します。

サンドボックスは各種のシステム内に置かれ、iOSのようなOSに搭載されたり、メールサーバーやセキュリティソフトの一機能として利用もできます。

サンドボックスの主な用途に以下があげられます。

  • マルウェアの解析
  • システム開発におけるテスト環境用

セキュリティ分野においては、サンドボックスに外部アプリやファイルを置き、マルウェア等の脅威が潜んでいないか、また挙動の有無の分析・対策の検討に使われます。
サンドボックス内で仮に悪意のあるプログラムが実行されても、システム本体を守れる安全な仕組みになっています。

サンドボックスの仕組み

サンドボックスは特定のシステム内に設置されます。そして、未確認のファイルや安全性が疑わしいファイル・ソフトウェアを格納・動作させても、システム本体と内部データに影響が及ばないように設計されています。サンドボックスでは以下のような動作が制限されているためです。

  • 外部ネットワークとの通信
  • 他プログラムとのデータのやり取り
  • 本体ストレージのファイルアクセス
  • カメラ等の入出力装置へのアクセス

サンドボックスを活用すれば、既存の検知システムでは検出しきれない脅威に対応も可能です。年々脅威の多様化が著しいため、既知の攻撃パターンの特徴を用いて検出できない脅威がたくさん出ています。しかし、サンドボックスならばその様子を監視して、ある程度分析し対処もできるのです。

サンドボックスは特に「標的型攻撃」に有効だといわれます。なぜなら標的型攻撃は特定の対象をターゲットとするため、標的に最適化されています。幅広い対象をターゲットとする脅威より個別性が高く、既存のパターン認識では見逃される可能性があるからです。

サンドボックスのメリット

サンドボックスのメリットは次の2つです。

  • 動作させても安全、かつ挙動を監視・分析可能
  • 未知のマルウェアに対応可

安全な環境下で動作確認・分析が可能

サンドボックスの中で何が起ころうとも、システム本体やパソコン等の端末、通信機器に影響を及ぼすことはありません。

サンドボックスではプログラムが行える動作に制限があり、不審な挙動をするとすぐに検知されます。不正なプログラムが作動してシステム本体や他のプログラムに感染しようとしたり、ファイルの破壊、外部への情報漏洩を試みても防ぐことができます。

サンドボックスなら未確認のファイルや不審なプログラムを実行して攻撃行動に出られても、リスクを受けずに挙動の有無、動作確認と分析、削除等の対処に向けられます。

なお、マルウェアが起動し、こちらでプログラム終了などの制御が行えずとも、サンドボックス自体を安全に終了させればよいので安心です。

未知のマルウェアに対応可

サンドボックスでは既知の脅威をもとにチェックや診断を下すのでなく、動作を確認して脅威かどうかを判斷します。つまり、まったく未知の脅威が入り込んだとしても、挙動からマルウェアと断定して対処も可能なのです。そしてこのような新しい脅威の挙動を調べあげ、類似のマルウェアに対策を図ることもできるでしょう。

サンドボックスのデメリット

サンドボックスのデメリットは次のとおりです。

  • サンドボックスを回避する脅威の存在
  • 動作の検出・分析のタイムロス
  • 高額なコスト

サンドボックスを回避する脅威の存在

サンドボックスは20年以上前に確立された仕組みのため、その存在はすでに知れ渡っています。したがってサンドボックスを回避する脅威も実在します。

たとえば、サンドボックスの中では不正な挙動をしないプログラム、またサンドボックスを迂回して攻撃を行うプログラム、さらに特定時間に起動するプログラムに至っては分析中にまったく動作せず検出ができないこともあります。

サンドボックスで安全と判斷されても、100%安心はできないことに留意しましょう。

動作の検出・分析のタイムロス

サンドボックスでプログラムの挙動を検出・分析するには一定の時間がかかります

サンドボックス利用時はオリジナルのファイルを本体システムに残し、コピーをサンドボックスに移して確認するので、分析中に攻撃を受けるリスクがあります。
サンドボックスという実験環境で脅威への対処法がわかったとしても、先に本体システムが被害にさらされる恐れもあります。

高額なコスト

サンドボックスには多大なコストを要します。おおむね百万円単位の費用を見込むべきです。
しかし、機密情報の漏洩などのセキュリティリスクを考えると、決して高くはないといえるでしょう。自社システムや事業の規模を考慮し、可能な限り導入しておくに越したことはありません。

サンドボックスの導入事例

社内システムにサンドボックスを導入するには多額のコストがかかります。サンドボックスの導入にあたり、どのような点を考慮し、運用していくべきなのか、国内の事例をもとに説明します。

セキュリティシステム連携でリスク抑制を図る

北陸のある大学病院は電子カルテなど先進のICTの活用やセキュリティに努めていましたが、近年増加する未知の脅威に危機感を持っていました。シンクライアントパソコンで院内システムとネットワークの双方に接続する構成で、ネットワークセグメントを分離する対策をしていたものの、万一の事態を想定しサンドボックスの導入を決断したといいます。

サンドボックスの選定にあたって、脅威侵入による医療サービス停止の回避を重視し、水際で脅威を検知するセキュリティ製品群と連携可能なものを採用しました。

サンドボックスはパイロット運用から徐々に適用拡大する方針で、現状は実害を受けるような攻撃は確認されていないとのこと。本運用に入ったら院内でレポートを公開し、職員の意識向上に役立てる予定です。

サンドボックスは自社の環境や用途、事情に応じて選べます。この病院は院内ネットワークの侵入防止のため、セキュリティソフトと連携できるサンドボックスを選定しました。
たとえば標的型メール攻撃に対処したいのなら、メールサーバーに機能を付加できる製品を選定するのも一つの手です。

自社運用を前提とするサンドボックス導入事例

多数の傘下企業を擁するある私鉄グループでは、グループ全体のネットワーク接続を一元化し、さまざまなセキュリティ強化策を実施していました。しかし、標的型攻撃に危機感を抱き組織内調査を実施したところ、未知のマルウェアが検知されるなど対策の必要に迫られました。

そこでオンプレミス(自社運用)を前提として、3つのサンドボックス製品を検討しました。
最終的に、運用負荷を軽減できるように検知能力が高く、危険性に応じたアラート設定で運用難度・工数が少なくて済む製品を選定しました。

サンドボックス導入により自社のみで分析と対策の実施が可能になり、効率化をより進められたといいます。ある程度の規模の企業になると、自社でのログ監視や分析作業が必要になってきます。
会社によって環境やリソースは千差万別で一概にはいえませんが、自社運用を検討しているなら機能性と省力化の両立は外せないでしょう。

まとめ

サンドボックスの導入により、従来型のセキュリティシステムでは対処が難しかった未知の脅威や標的型攻撃に対策できるようになります。機密情報の漏洩対策にぜひ検討してみましょう。

条件面で難しければ、サンドボックス機能を搭載したアプリを検討してみてはいかがでしょうか。

情報セキュリティ対策認証取得を目指すインシデント対策リスクマネジメント
タイトルとURLをコピーしました