サンドボックスとは、「コンピュータ上に設けられた仮装環境」のことで、未知のマルウェアにも対応できることから、近年有効なセキュリティ対策として注目されています。
この記事では、サンドボックスの仕組み、メリットデメリットをIT初心者の方にもわかりやすく解説します。
サンドボックスとは?
サンドボックスとは、直訳すると「砂場」で、IT、セキュリティの世界では「コンピュータ上に設けられた仮想環境」を意味します。この仮想環境はソフトウェア上に実際のコンピュータ環境のような擬似環境として、プログラムやアプリケーションを動作させることができます。
具体的には、外部から受け取ったファイルやプログラムを実行する際、まずはサンドボックスで操作させ、マルウェア分析等をして安全なことを確認した上で実際のコンピュータ環境で実行することで、セキュリティを担保しマルウェア感染を防ぐことができます。
シグネチャ型との違いは?
ウイルス対策として知られるシグネチャ型とサンドボックスの違いは、一言で言えば未知のマルウェアにも対応できることです。通常のウイルス対策ソフトは、既知のマルウェア情報を記録したシグネチャと呼ばれるデータベースをもとに、そのファイル、プログラムにマルウェアが含まれていない確認します。ただ、シグネチャ型だとシグネチャに情報がない未知のマルウェアを発見することはできません。
それに対して、サンドボックスは仮想環境で実行させその動作をもとにマルウェアを検知するので、未知のマルウェアを発見することもできる点で、優位性があります。
サンドボックスのメリットとは?
①未知のマルウェアにも対応できる
一つ目が、未知のマルウェアにも対応できることです。先ほどのシグネチャ型との違いのところでも触れたので詳細は割愛しますが、仮想環境上で実際に動作させて分析するため、未知のマルウェアにも対応できることは一番のメリットです。
②標的型攻撃に有効
二つ目が、標的型攻撃に有効なことです。標的型攻撃とは、不特定多数にマルウェアを送りつけるのではなく、特定の企業や個人を標的とする攻撃のことです。標的型攻撃は、攻撃者は様々な手段を使ってターゲットに対して侵入やマルウェアを仕掛けてくるため、従来のシグネチャ型の対策では攻撃の種類が追いつかず、侵入を許してしまうケースがあります。そこで、まずはサンドボックス上でファイルやプログラムを実行し確認することで、コンピュータ環境に影響を与えることなく攻撃を検知することができます。
サンドボックスのデメリットとは?
①サンドボックスで発見できないマルウェアもある
一つ目が、サンドボックスで検知できないマルウェアもあることです。前述のメリットを読むと「サンドボックス最強じゃん!」と思うかと思いますが、全てを検知できるわけではありません。セキュリティ対策が進化すればするほど攻撃者の手法も高度化していくので、最近はサンドボックス内で動作していることをマルウェアが検知して動作を変えるなど、サンドボックス上で検知できないようにされた攻撃も存在します。となると「高度な攻撃にはもう何もしようがないの!?」と思いますが、メールに添付された怪しいファイルやURLを不用意にクリックしないなど、従業員一人一人のセキュリティ教育が結局重要になってきます。
②検出に時間がかかる
二つ目が、検出に時間がかかることです。一度サンドボックスで実行させて分析して初めて検知できるので、シグネチャ型に比べて時間はかかってしまいます。検出に時間がかかるので、その間に攻撃を受ける可能性もあるのがデメリットです。
③比較的高額
三つ目が、比較的高額なことです。ソフトウェア上に仮想環境を作るので、セキュリティ対策の中では比較的費用が高額になります。導入時にその高額さがハードルになってしまうことも考えられます。
おわりに
いかがだったでしょうか。セキュリティ対策はこれさえ入れておけば完璧!というものはなく、日々進化する攻撃に合わせて適したソリューションを複数導入していくことが重要です。仕組み、メリットデメリットをしっかり理解しておきましょう。
コメント