サンドボックスとは? さらに強固なセキュリティ環境を構築するには
2023 年 1 月 20 日
近年、耳にすることが多くなった「サンドボックス」とはどのようなセキュリティ対策ツールなのでしょう。
今回は、サンドボックスのしくみや機能、メリット、デメリットについて紹介します。
- サンドボックスとは
1-1. サンドボックスの概要
1-2. サンドボックスの必要性 - サンドボックスのしくみと種類、機能
2-1. サンドボックスのしくみ
2-2. サンドボックスの種類
2-3. サンドボックスの機能 - サンドボックスの強みと弱点
3-1. サンドボックスの強み
3-2. サンドボックスの弱み - 弱点を補う他製品や機能の紹介
- まとめ
1. サンドボックスとは
まず、サンドボックスの概要とその必要性について解説します。
1-1. サンドボックスの概要
サンドボックスはもともと砂場を意味しますが、セキュリティ対策におけるサンドボックスとは、普段使っているパソコンなどのシステム上の領域から隔離された仮想環境の中で、マルウェアなどの分析を行うセキュリティ システムのことをいいます。
1-2. サンドボックスの必要性
サンドボックスは、未知のサイバー攻撃パターンや特定の企業や組織を巧妙な手口でねらう標的型攻撃に対して有効なセキュリティ システムです。
従来のセキュリティ ソフトは、既知の攻撃パターンに一致したものしか検知することができず、日々進化し巧妙化するサイバー攻撃に備えるためには、従来型のセキュリティ対策では十分とはいえなくなってきています。
そうしたことから、隔離された仮想環境で安全性を確認できるサンドボックスの必要性が注目されているのです。
2. サンドボックスのしくみと種類、機能
次にサンドボックスはどのような流れで脅威を検知するのか、そのしくみとサンドボックスの種類、機能について紹介します。
2-1. サンドボックスのしくみ
サンドボックスは次のような流れでマルウェアなどの脅威を検知します。ここでは添付ファイル付きメールの処理を例にあげてサンドボックスのしくみを紹介します。
- 企業や組織のネットワーク内の端末でメールを受信します。
- サンドボックスの仮想環境下で添付ファイルやメール内に記載されたリンクを検証します。
- 疑わしいプログラムが含まれていた場合、サンドボックスの仮想環境下でプログラムを実行します。
- 不正プログラムと判断された場合、検出や削除処理を行い、安全と判断された場合は、ユーザーのパソコンや端末に転送します。
上記の例では、社内や組織内のネットワーク上のパソコンに届いたメールの処理について紹介しましたが、社外で利用するスマートフォンやタブレットに届くメールについても同様のしくみで処理されます。
またメールに限らず、Web 経由で侵入する不審なファイルや JavaScript にしくまれたプログラムについてもサンドボックス内で検証されます。そのほか、iOS や Android 端末に利用されるサンドボックスも同様のしくみでアプリの不具合から起こるセキュリティ リスクを防ぎます。
2-2. サンドボックスの種類
セキュリティ対策に用いられるサンドボックスには、利用する環境や目的に応じて、いくつかの種類があります。ここでは主なサンドボックスの種類について紹介します。
- 内部ネットワークの端末を外部の脅威から総合的に保護するサンドボックス
社内や組織の内部ネットワークに侵入しようとする外部の脅威から、パソコンやサーバーなどの端末を保護するサンドボックスです。メールに添付されたマルウェアや不正なリンク、Web サイトを経由して侵入するマルウェアなどの脅威をサンドボックスの隔離された領域で検査します。
サンドボックスは、クラウド上にサンドボックス領域がある「クラウド型」とローカル環境のサーバー内にサンドボックス領域がある「オンプレミス型」に大別されます。
クラウド型は、内部のネットワークに接続された端末に加え、リモート ワークで利用される外部の端末や、出先で利用されるスマートフォンやタブレットなどの携帯端末を保護する機能もあります。 - 不正なメールから保護することに特化したサンドボックス
メールソフトに組み込まれたサンドボックスです。マルウェア対策を強化する機能としてサンドボックスを利用しています。メールの添付ファイルや不正リンクをサンドボックスの隔離された領域で検査します。 - Web ブラウザーに組み込まれたサンドボックス
Web サイトには閲覧すると閲覧者の端末の Web カメラを起動させ、盗撮するような悪質な JavaScript が組み込まれたものがあります。Web ブラウザーに組み込まれたサンドボックスは、JavaScript など Web ページ閲覧時に実行するプログラムを隔離された領域で検査し、プログラムの実行の可否やユーザーへの許可を求めます。 - スマートフォンやタブレットのサンドボックス
iOS や Android のサンドボックスです。これらスマートフォンやタブレットの OS (オペレーティング システム) は、アプリをサンドボックス内で実行します。さまざまなサードパーティによって開発されたアプリは膨大な数にのぼり、不具合があっても端末本体に影響を及ぼさないように防御するために利用されます。
2-3. サンドボックスの機能
サンドボックスの主な機能について紹介します。
- エミュレーション機能
実際のパソコンやスマートフォンなどの端末の環境を再現する機能です。OS に加え、ハードウェア構成もエミュレーションされます。 - 脅威の検知機能
仮想環境とよばれるソフトウェアによって作られた実際のコンピューターを、エミュレーションされた環境下でマルウェアなど疑いのあるプログラムを実行させ、その動作から悪意のあるプログラムを検知する機能です。サンドボックスの主たる機能といえます。 - レポート機能
仮想環境で検証した結果をセキュリティ管理者にレポートする機能です。 - 他のセキュリティ製品との連携機能
今や 1 つの種類のセキュリティ システムだけでは十分とはいえず、アンチウイルス ソフトや EDR などと連携する必要があります。サンドボックスの多くの製品では、他のセキュリティ製品との連携機能を備えたものが多くみられます。
中小企業のサイバー セキュリティのために生まれた Microsoft Defender for Business の魅力満載
おすすめのガイドブック
Microsoft Defender for Business カタログ
Microsoft Defender for Business カタログ
3. サンドボックスの強みと弱点
次にサンドボックスの強みと弱点について紹介します。
3-1. サンドボックスの強み
- 未知のマルウェアに強い
従来のシグネチャー型セキュリティ システムでは、既知のマルウェアの攻撃パターンにマッチングしたものを検知します。
一方サンドボックスは、内部ネットワークと隔離された安全な仮想環境の中で実際にマルウェアのプログラムを動作させ、その挙動に怪しい点がないかをチェックすることで、マルウェアを検知します。そのため、未知のマルウェアに対して高い検知力があるといわれているのです。 - 標的型攻撃に有効
標的型攻撃では、ねらった企業や組織のシステムに入り込むために攻撃もより巧妙になり、未知のマルウェアを利用するのがあたりまえになっています。そのため、従来のシグネチャー型のセキュリティ システムでは検知が難しく、サンドボックスが有効な手段となっています。 - システム導入が容易
サンドボックスはシステムの導入の際、企業や組織内のネットワークに大きな変更を加える必要がないので、比較的簡単に導入できます。
3-2. サンドボックスの弱み
- 検出できないマルウェアがある
未知のマルウェアに対して有効なサンドボックスですが、中にはサンドボックス対策が施されたマルウェアも存在します。
このマルウェアは、サンドボックスを検出し、サンドボックの仮想環境内では動作を停止します。その場合、そのマルウェアは検出不可能です。よく知られている例としては、ランサムウェアの「Locky」があります。 - 検知や報告までに時間がかかる
サンドボックスは、従来のシグネチャー型のようにパターン マッチングですばやくマルウェアを検知するのではなく、実際に仮想環境の中でマルウェアを実行し挙動を検証するため、時間と手間を要します。
このように検知と報告にタイムラグが発生するため、リアルタイムでマルウェアを検出し、危険を回避するという使い方には向いていません。 - 導入コストが高額
サンドボックスは容易に導入できますが、導入コストはおおむね百万円単位の費用が必要です。それに加え、運用に関してもサンドボックスの専門的な知見が必要となるため、人材のコストも必要となります。
4. 弱点を補う他製品や機能の紹介
サンドボックスは未知のマルウェアの検出については有効なセキュリティ システムです。また、既知のマルウェアについてはすばやく検知できる E P P を併用する、またサンドボックスで検知できなかった脅威にも効果がある EDR を併用するというように、他の製品と連携させることでお互いの弱点を補うことができます。
ここでは、サンドボックスの弱点を補う E P P と EDR について紹介します。
E P P とは
「E P P (Endpoint Protection Platform)」とは、マルウェアやランサムウェアなどがエンドポイントへ侵入することを防御するセキュリティ システムです。
既知のマルウェアの攻撃パターンにマッチングさせて検知するシグネチャー型の「AV (アンチウイルス ソフト)」はE P P の 1 つですが、家庭のパソコンのセキュリティ対策にも利用されています。
また AV を進化させた、「NGAV (Next Generation Anti-Virus)」という次世代型アンチウイルス ソフトは、マシン ラーニング (機械学習) のテクノロジーを利用して、マルウェアに類似した特徴や動作をするすべての異変を検知し駆除することができ、未知のマルウェアへの対応も可能としています。
EDR とは
「EDR (Endpoint Detection and Response)」は、脅威がエンドポイントから侵入した後の被害を最小限に食い止めることを目的としたセキュリティ システムです。E P P は、脅威が侵入する前に防御しますが、EDR は侵入の検知と対処を行います。
EDR はエンドポイントの端末に専用の侵入検知センサーやソフトウェアを挿入し、ネットワークの接続ログやファイルの操作ログなど各種のプロセスを常時監視し、脅威を検知します。
脅威を検知するとデータベースから脅威を解析すると共に、脅威が発生した箇所や侵入経路、被害の状況を特定し、レポートします。そのうえで、問題が解決されるまでネットワークを切断したり、アプリケーション停止させたりします。
5. まとめ
サンドボックスは、未知のマルウェアや標的型攻撃には強みがありますが、単独ではセキュリティ対策としては不十分です。
E P P に加え EDR 機能も備えた Microsoft Defender for Business と併用し、強固なセキュリティ環境を構築しましょう。
リモートワーク・ハイブリッドワークに適した環境設置のために
リモートワーク・テレワーク・在宅勤務環境を安全・快適に実現するためには、「セキュリティの確保」「Web 会議のためのデバイス選択」「グループワークのためのアプリケーション」など検討する課題も多く、またこれらを潤沢な資金で準備するのではなくコスト削減につなげることが大切です。
これらの達成のための Microsoft 365、Excel の使い方や、リモートワーク・ハイブリッドワーク環境を充実させるために以下の記事が参考になります。
- Microsoft 365・Excel: Microsoft 365 から、Excel の使い方など生産性を向上させるコラム
- Teams・Web 会議: Microsoft Teams を始め、Web 会議をワンランクアップさせるコラム
- リモートワーク・テレワーク: リモートワークやテレワークなど、新しい働き方のお役立ちコラム
中小企業のサイバー セキュリティのために生まれた Microsoft Defender for Business の魅力満載
Microsoft Defender for Business カタログ
Windows を知り尽くしたセキュリティ ツール
ご購入検討の問い合わせ先
Web フォームで購入相談
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。