インフラ設計・構築

サンドボックス機能とは? | 未知の脅威からネットワークを守る

サンドボックス機能とは安全な仮想空間上で様々なOSを動作させてファイルを仮想空間に送り、実際に実行させることで、ファイルが安全かについて判定する仕組みです。

日本語に直訳すれば「砂場」ですが、IT界隈では「仮想環境」を意味するキーワードです。

つまり、セキュリティ対策の世界では仮想環境でテストをして問題がなければ実環境で実行する対策になります。

サンドボックス機能はセキュリティ対策の最後の砦です

サンドボックス機能があれば、未知の脅威にも十分な対策が取れます
サンドボックスはセキュリティ対策の最後の砦となるのでしょうか

サンドボックス機能では、WindowsOSやWindowsServerOS、MacOSなどを仮想環境上で実際に動作させています。

そこに、ファイルを一旦仮想環境上に預けて動作させることで、そのファイルが正常なものなのか、ウイルスファイルなのかを確認します。

当然、正常なファイルは通過させて、ウイルスファイルはそこでブロックさせますので、マルウェアによる攻撃に対して未然に防ぐことができます。

仮想環境で実際に動作させることにより、ファイルの挙動を確かめることが可能であるという意味で。これ以上のセキュリティ対策はありません。

サンドボックス機能の仕組みについて

サンドボックス機能の仕組みをCheck PointのUTM機器を例にして解説します。

サンドボックスでエミュレートすることで、マルウェアが混入している場合も感染しない
サンドボックスでは外部から入ってきたファイルを一度エミュレートする

インターネットから入ってくるデータで、データベースにないものについては、サンドボックス環境下で実行させ、その動作を検証します。

これをエミュレートといいます。

実際にサンドボックスで検証して”問題のないファイル”だけが実際の環境に届く仕組みになっています。

なので、私たちはエミュレート後に初めてファイルを開くことになり、マルウェアに感染したファイルが送り込まれても、サンドボックスでチェックされるため感染する可能性が極めて低くなるわけです。

未知のマルウェア検出率が極めて高いサンドボクス機能

サンドボックスは未知のマルウェアの検出率が高い
CheckPointUTMにあるサンドボックス機能によって未知のマルウェア検出率が圧倒的に高いという結果に

業界各社のソリューションを比較するMiercom社によって公開されたレポートによると、未知のマルウェア検出率においてCheck Point社の製品が群を抜いて高いという調査結果を公表しています。

未知のマルウェア検出率を比較
Source: Miercom APT Industry Assessment

これにより、サンドボックス機能が未知の脅威からの攻撃を守ることができることが調査機関からも認められ、セキュリティ対策としてのサンドボックスの有効性が証明された形になります。

セキュリティ対策の最前線では、未知のマルウェアとの戦いが続いていますが、全ての企業でウイルスの監視をリアルタイムで出来るわけではありません。

サイバー攻撃を防ぐためのツールとしてUTMのような機械を設置しておくことで、最低限のセキュリティ対策を取ることができるようになります。

この記事を書いた人

その他記事はこちら

櫻井 邦則

代表取締役

1982年生まれ。 趣味はブログとゴルフ。 ブログでは検索スコアを上げるために、ゴルフではスコアを下げるために日々奮闘しています。

その他記事はこちら

関連記事