クラウドサンドボックス(sandbox)とは
セキュリティにおけるサンドボックスの意味
サンドボックス(sandbox)とは、本来「砂場」という意味です。
他の領域から仕切りで区切られ、砂が入っている。子どもたちは、この別枠の中で自由に遊べる・・。
公園の砂場と同じように、プログラムを自由に実行するための区切られた環境が「サンドボックス」です。
サンドボックス内でプログラムを実行することで、それが悪意のあるプログラムであったとしても、他の正規のソフトウェアに影響を与えることなく、その動作を確認できます。
クラウドサンドボックスの機能や仕組み
クラウドサンドボックスで、不審なプログラムの動作を確認するとはどのような意味なのでしょうか。
疑わしい添付ファイルが付いた受信メールを解析するときの流れを、例として見てみましょう。
- 企業内の端末でメールを受信。仮想環境下で添付ファイルやメール内に記載されたリンクを検証。
- 疑わしいプログラムが含まれていた場合、同じく仮想環境下にあるクラウドサンドボックス領域で実行。
- 実行を経て、不正プログラムだと判定された場合、検出や削除の処理を行う。安全なプログラムだと判定された場合は、ユーザのPC・端末へ転送。
なお、クラウドサンドボックスでの検証結果をユーザに通知できる製品もあります。
クラウドサンドボックスはなぜ必要?パターンマッチング方式の限界
なぜクラウドサンドボックスという仕組みが生まれたのでしょうか?背景を探ります。
パターンマッチング方式の限界
セキュリティ対策ソフトが誕生した頃から、脅威を検出する手法として、長らく採用されてきたのが、定義ファイルを利用したパターンマッチングと呼ばれる技術です。
パターンマッチング方式では、不正プログラムが持つ特徴的なコードをパターンとしてデータベース化し、検査対象のファイルに同じパターンが含まれていないか検査することで脅威を検出します。
不正プログラムが持つ特徴のパターンは、シグネイチャやシグネチャコードなどと呼ばれます。
シグネイチャ他、不正プログラムに関する大量のデータが登録されているのが、ウイルス定義ファイルで、ウイルス定義ファイルを日々更新することで、新しく登場した不正プログラムであっても検知できるという仕組みです。
ところが、情報処理推進機構(IPA)に届け出のあった不正プログラムだけでも、1ヶ月で約7万個。
新種の不正プログラム発見から、解析を経て、ウイルス定義ファイルの情報を更新するまでに発生するタイムラグが問題視されるようになりました。
また、ウイルス定義ファイル更新までのタイムラグの他、私たちが日常的に使用しているソフトウェアに存在する脆弱性を突いて攻撃するプログラムである「エクスプロイト」の進化も、パターンマッチング方式の問題点を顕にしました。
発見済みの脆弱性に対しては、ベンダーが配布するセキュリティパッチを適用することで、その脆弱性を塞ぐことができます。対して、サイバー犯罪者はまだベンダーが発見していない脆弱性、“ゼロデイ脆弱性”を悪用した不正プログラム「ゼロデイエクスプロイト」を開発し、ゼロデイ攻撃を展開しました。
このように、誰にも発見されていない未知の脆弱性を悪用した不正プログラムに対して、過去に検出実績のある既知の不正プログラムにのみ対処するパターンマッチング方式が、全く無力なのは明らかです。
未知の脅威からも守る
このような背景から、既知の不正プログラムから身を守るという考え方から脱して、未知の脅威からも身を守る前提で対策するという考え方が生まれました。
ファイルを実行して検証するクラウドサンドボックスも、未知の脅威からも防御する前提に立った手法のひとつです。
パターンマッチング方式を採用した従来型のセキュリティ対策製品に対して、クラウドサンドボックス機能他、脅威の侵入は防げないことを前提とした機能を付加した製品は、「NGAV(Next Generation Antivirus:次世代アンチウイルス)」とも呼ばれています。
進むクラウドサンドボックスの導入
サイバー攻撃から企業を守ることを目的に策定された「サイバーセキュリティ経営ガイドライン」というというフレームワークがあります。
本ガイドラインには、具体的な実践に役立つ解説書「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第2版」がありますが、その中で「次世代ファイアウォール導入(サンドボックス機能での対策)」がサイバーセキュリティ対策の例として紹介されています。
「サイバーセキュリティ経営ガイドライン」は、経済産業省と独立行政法人情報処理推進機構(IPA)により策定・公開されているため、信頼性が高いとして多くの企業が採用しているフレームワークです。
このように、クラウドサンドボックスの採用は、経済産業省の公式ガイドラインでも推奨されている施策となっていることもあり、今後も各方面で採用が進むと予想されています。
クラウドサンドボックス比較時に確認すべきポイント
クラウドサンドボックスの導入を検討するとき、必ず知っておきたいポイントについて説明します。
必ず行いたいのが、各種製品を比較することです。クラウドサンドボックス製品比較における“迷いどころ“を、2選択肢の比較形式で解説します。
クラウドサンドボックスの価格
クラウドサンドボックス製品の価格設定は、サービスや製品により様々です。価格について検討するときは、導入コストだけでなく運用コストも含めて検証することが重要です。
初期費用 コミコミ VS 別途?
クラウドサンドボックス製品の場合、月額で利用料を支払うなど、サブスクリプション型の費用体系を採用している製品が大半です。
一方、その定額利用料に、初期設定費用・運用コスト・サポート費用のどこまでを含むのかは、製品によって異なるため契約前に確認すべきです。
課金は端末ごと VS 解析件数ごと?
サブスクリプションの費用体系であっても、その利用料の算出を、防御する端末の台数ベースで行うか、サンドボックスで解析した件数ベースで行うかも確認すべきポイントです。
端末台数ベースの課金の場合、エンドポイントの数が200台までなら月額○○円、1000台までで月額○○円・・というように決められています。この場合、クラウドサンドボックスで実際に解析した件数は関係ありません。
一方、解析した件数ベースでの課金の場合、エンドポイントの数は無関係に、クラウドサンドボックスを1日あたりでどれだけ稼働するのかで利用料が決まります。
サポート費用 コミコミ VS 別途?
セキュリティ対策製品選びでは、導入後のサポートの有無や内容も見極めの重要なポイントです。
サポート費用が月額に含まれている場合と、サポートは別費用となっている場合とがあります。通常サポートの他、追加料金を支払うことで契約できるプレミアムサポートを設けているクラウドサンドボックス製品もあります。
また、サポートの内容に加え、サポートへの連絡方法(電話・メール・チャットなど)やサポート対応時間なども確認し、自社がサポートを必要としそうな場面でコンタクトが取りやすい製品かも確認します。
クラウドサンドボックスの形態や機能
クラウドサンドボックス製品の提供形態や機能について比較検討します。
クラウドで解析 VS クラウド上のデータを解析
クラウドサンドボックス製品選びで勘違いしやすい点が、社外から流入してきたデータをクラウドで解析するのか、クラウドにアップしたデータをクラウドで解析するのかという点です。
クラウドサンドボックスというと、社外から流入してきた不審なデータを解析する目的の製品を指す場合が多いですが、昨今では、GoogleやDropboxなどクラウドサービス上に企業の情報を保存することも日常化しています。このため、これらクラウドサービスと連携してクラウドサービス上のファイルを解析するというクラウドサンドボックス製品も誕生しています。
クラウド型 VS オンプレミス型
サンドボックス機能はクラウドサンドボックスとして、クラウド型で提供される製品がほとんどですが、オンプレミス型のサンドボックス製品も存在します。
提供形態については、自社の情報管理方針に合っているのはどちらかという観点で選択すべきです。
クラウド型には管理や運用がしやすいなど多くのメリットがある一方、オンプレミス型にも、ファイルをインターネットに送出することなく、自社内だけで解析できるなどクラウド型にはないメリットがあるため、一定の需要があります。
カスタマイズ型 VS 非カスタマイズ型
クラウドサンドボックス製品のカスタマイズが可能かどうかも確認すべきポイントです。
端末ごとにポリシー設定の変更可能など、詳細なカスタマイズが行える製品もあれば、設定変更を許可していない製品もあります。
機能提供型 VS ソリューション型
クラウドサンドボックス機能だけを提供する機能提供型と、セキュリティ対策ソリューションとして他の機能とともに提供されるソリューション型の製品があります。
機能提供型では、既存のセキュリティ製品に対し、別料金でクラウドサンドボックス機能だけを追加することができます。このような機能提供型の製品の主な目的は、サンドボックスという防御のレイヤーを追加した多層防御を実現することです。
また、UTMや次世代ファイアウォールなどの製品に組み込むかたちでサンドボックス機能を提供している、ソリューション型の製品もあります。
まず、すでに導入済みのセキュリティ対策製品の見直しを行い、クラウドサンドボックス機能として追加するのか、既存のセキュリティ製品ごと見直して入れ替えるべきかを検討します。
Windows向け VS LinuxやMac OSも?
対象OSはクラウドサンドボックス製品によって異なります。Windowsのみという製品、LinuxやMac OSにも対応する製品など、様々です。
他社製品との連携 あり VS なし
クラウドサンドボックス機能を追加する場合、一番スムーズなのがすでに導入しているセキュリティ製品に対し、機能追加として同じベンダーのクラウドサンドボックスを別途追加契約する方法です。
同一ベンダー製品であれば、クラウドサンドボックス製品導入のために行うことは契約を更新すること程度です。
一方、他社製品とも連携してサンドボックス機能を追加できる製品もあるため、導入済みのセキュリティ製品とは別のベンダーを採用したい場合は、検討の余地があります。
リモートワークあり VS なし
エンドポイントのユーザの位置を問わずにサンドボックス機能を活用できるのが、クラウド型の製品の強みです。
加えて、セキュリティ管理者がリモートで管理する場合の使いやすさについても確認しましょう。
管理コンソールが見やすく使いやすいかが、見極めのポイントです。
検査可能ファイルサイズ 重視 VS 非重視
クラウドサンドボックスで検査できるファイルサイズの制限は、各製品で異なります。
1ファイルあたり64MBまでという製品や32MBまでという製品など、仕様がベンダーにより異なるため、自社の業務内容を精査して検討します。
電話サポートあり VS なし
緊急時には電話でもサポートを受け付けてくれるクラウドサンドボックス製品なのかも確認すべき点です。また、対応時間もベンダーにより異なります。
最後に
クラウドサンドボックス製品とは何か、また製品を比較するときに迷いやすいポイントについて解説してきました。
ESET社では、クラウドサンドボックス機能を含む、ソリューションパッケージとしてESET PROTECT Advancedと ESET PROTECT Completeを提供しております。
