高度化するサイバー脅威に対応する境界セキュリティ：セキュリティ強化塾（4/4 ページ）

[キーマンズネット]

未知の攻撃からも守るサンドボックス

　境界を守るための最新の機能として「サンドボックス」という名前を聞いたことがある読者も多いだろう。サンドボックスとは「砂場」の意味で、企業における砂場を用意し、マルウェアはその中でのびのびと活動してもらうといったものだ。

　考え方はカンタンだ。まず、企業の境界に仮想化技術を使った「仮想クライアントPC」を用意する。メールに添付されたファイルのうち、スパムフィルタやウイルスチェックを通過したものは、この仮想的なクライアントPC内で「実行」する。

　万が一未知のマルウェアだった場合、悪意あるプログラムがさらなる行動のために外部と通信を行おうとする。しかし、そこは単なる砂場であるため実被害は発生しないわけだ。自社企業だけが標的になっている場合や、未知の脆弱性を利用した「ゼロデイ攻撃」であっても、実際に実行させて確認するので検知が可能だというのが特長だ。

　これまでサンドボックスは専用のマシンが必要で、高価なものだと考えられていた。だが、現在ではサンドボックス機能を持つ次世代ファイアウォールやネットワーク機器が増えている。ただし、マルウェア自身もサンドボックス対策をとるようになっており、そこが実PCでなければ行動を止めるものが登場している。サンドボックスだけで全てを検知し、ブロックできるわけではないことは注意したい。

境界は社内外を分けるだけではない

　このように、境界を分ける手法によるネットワークセキュリティ対策は多くの手法がある。これらは全て「分ける」ことがポイントになっているが、これは何も社内と社外を分けるだけではない。

　先進的な企業では、「部署」や「プロジェクト」ごとに境界を設けている。万が一、マルウェアが社内に侵入しても、持ち出されると困る情報がある部署は突破されなければいいという考え方でセキュリティを確保している。

　多層防御の考え方は、攻撃者が攻撃を仕掛けるステップのうち「どこかで止められればいい」という考え方だ。境界を増やすことも立派な多層防御の1つであり、これまでの境界セキュリティのノウハウを生かすことができる分野でもある。