サンドボックスとは？ その仕組みとセキュリティを高める方法を解説

サンドボックスの仕組み

セキュリティ技術におけるサンドボックスは、上記の「砂箱」を仮想空間に再現したものです。砂箱と同様に、次のような特徴を持ちます。

• 箱内部でのソフトウェアの動作が外部に影響を与えることはない（＝砂は箱の外に出ない）
• 箱内部でのソフトウェアのふるまいを外部から観察できる（＝不審な挙動がないかを分析可能）
• 悪意のないソフトウェアであることを確認できる（＝実環境での実行前に試行が可能）
• このような働きにより、セキュリティの一層の向上を図ることができます。

従来のセキュリティとの違い

アンチウィルスソフトウェアなど、従来のセキュリティ製品において悪意あるソフトウェアの検出技術として採用されている「シグネチャ（Signature）」型は、警察の指名手配に似た仕組みと言うことができます。指名手配では容疑者の写真や既に判明している手口などを手がかりとして発表しますが、シグネチャ型では同様にマルウェアの特徴や動作などのパターンをあらかじめ登録します。それらのパターンと検査対象となる添付ファイルなどを比較し、合致したものを検出する仕組みです。
シグネチャ型には既知の攻撃に対しての検出率が高く、また誤検知も少ないというメリットがあります。また、サンドボックスで必要とされるような隔離された環境を用意する必要もありません。

標的型攻撃に有効

標的型攻撃は特定の企業を狙って行われるため、例えばウィルス付きメールの差出人を実在の取引企業の担当者のものにするなど、手口はより独自化される傾向にあります。さらに自社のシステムへの侵入だけに特化した、いわば「オーダーメイド」のマルウェアが使われることも珍しくありません。こうしたマルウェアは当然シグネチャ型のセキュリティ対策製品では検知できませんので、サンドボックス型のメリットが十二分に活かされることとなります。

未知のマルウェアを検知できる

サンドボックスでは、マルウェアの疑いのあるソフトウェアを実際に動作させてどのような挙動をとるかを確認することができます。既知の脆弱性や攻撃パターンを使用しているかどうかには関係なく、システムやファイルに対する影響などを実際に確認して悪意のあるマルウェアであるかどうかを判断するため、未知のマルウェアを検知することができるというわけです。
従来の「検知→隔離」ではなく、「確認→破棄」という、より安全性の高いフローを採用できる点は大きなメリットと言えるでしょう。

検知できないマルウェアもある

まず押さえておいてもらいたいのは、「サンドボックスでは検知できないマルウェアもある」という点です。
サンドボックスはいわば容疑者を（本人にはそれと知られずに）取調室に隔離し、外部からその行動を監視する仕組みとも言えますが、もし容疑者自身が自分は取調室に隔離されていること、監視されていることを知っていたとしたらどうなるでしょうか？ 「取調室でも普段と同じ行動を取るはずだ」という前提が崩れてしまうかもしれません。
実際に、動作環境がサンドボックス内であることを認識し、実環境と違うふるまいをみせるランサムウェアなども登場しています。より実環境に近いサンドボックスを用意するなどの対策は可能ですが、現時点では「サンドボックスでは検知できないマルウェアもある」と考えておくべきでしょう。

検知には時間を要する

サンドボックス環境にマルウェアの疑いのあるソフトウェアをコピーし、動作させ、分析・評価を行うにはそれなりの時間がかかります。サンドボックスでの検証を行い、未知のマルウェアを検出できたとしても、その結果を従業員に周知し対策する前に社内ネットワークに蔓延してしまっては意味がありません。
どんなに迅速に検出作業を行ったとしても作業時間はゼロにはなりませんから、検出するまでの安全性を担保する仕組みを併せて導入する必要があります。

サンドボックス以外のセキュリティも取り入れる

サンドボックスがすべてのマルウェアを検知できるものではないことは既に申し上げました。
近年では、防御層を入口対策、内部対策、出口対策の3つに分け、それぞれの層においてセキュリティ製品を導入する「多層防御」の考え方が主流となっています。サンドボックスを単体で導入するのではなく、それ以外のセキュリティ製品も組み合わせて取り入れることがセキュリティ向上のカギとなります。
自社のセキュリティ対策の現状とリスクを把握したうえで、サンドボックス以外に必要となるセキュリティ対策について検討しましょう。

従業員へのセキュリティ教育を充実させる

誤って怪しげな添付ファイルを開封してしまった、セキュリティ管理の甘さによりパスワードが漏えいしてしまった、など、従業員の不用意な行動が大きな被害へとつながった事例はそれこそ枚挙にいとまがありません。
先程も触れたように、サンドボックスでの分析には時間を要します。従業員への情報セキュリティ教育を実施し、例えば怪しげな添付ファイルをメール受信した際には速やかに関連部署に連絡する、分析が終了するまでは開封しない、などのセキュリティ意識や情報リテラシーが共有されていれば、サンドボックスの恩恵はより大きなものとなるでしょう。

ゼロトラストとSASEの違い

「ゼロトラスト」は、社内 / 社外を問わず、すべての通信を信頼しないという考え方です。従来の「社外からの怪しいアクセスを境界線上で防御する」という「境界型セキュリティ」とは異なり、社内からのアクセスとリモートワークなど外部からのアクセスとを区別せず、常にセキュリティリスクを疑うことにより高度なセキュリティを確保します。
一方、「SASE（Secure Access Service Edge、サシー）」は簡単に言えばネットワーク機能とセキュリティ機能とを包括的に提供するサービスのことを指します。
「Secure Access Gateway」は、「ゼロトラストに基づいたSASEサービス」です。

Secure Access Gatewayを導入するメリット

「Secure Access Gateway」を導入するメリットについて、主なものを3つ紹介します。

セキュリティ対策の向上

「Secure Access Gateway」は、ゼロトラストの考え方に基づきDNSセキュリティ（Cisco Umbrella：DNS Security Essentials）やセキュアWebゲートウェイといった高度なセキュリティサービスを提供します。多層防御によるセキュリティ性能の向上を手軽に実現できます。

管理負荷の軽減

多層防御実現のために複数のセキュリティ製品を導入する、いわゆる「ツギハギ運用」を行っている場合には運用コストや管理負荷が増大します。ネットワーク機能とセキュリティ機能を包括して提供するSASEなら様々な機能の設定はNTTPCが実施するため、セキュリティポリシーの策定や設定後の効果分析に専念することができます。

快適なインターネット接続の実現

「Secure Access Gateway」では、ネットワーク機能としてSD-WANを提供。仮想のWANを構成することで、既存の回線を変更することなくトラフィックの集中を防止できます。また、各拠点から直接インターネットに接続して通信を分散させることで、クラウドサービスを快適に利用することもできます。