セキュリティ対策“最後の砦”、「サンドボックス」とは何か という記事を見つけました
標的型攻撃は、IT/非IT問わず、さまざまな攻撃技術を組み合わせて機密情報や個人情報の窃取を狙い、多くの企業IT担当者を悩ませている。標的型攻撃の特徴は、ターゲットとなる組織に合わせてマルウェアを用意することにある。
マルウェアは近年、急速にコモディティ化が進み、例えば既存マルウェアの亜種であれば、高度なスキルがなくても簡単に作成できるようになった。そのため、シグネチャ型の対策では検知が難しい「未知の攻撃」を仕掛けることも容易になっている。
こうした中、セキュリティベンダーが相次いで市場投入しているのが、「サンドボックス」という技術を用いたセキュリティ製品だ。ガートナー ジャパン リサーチ部門 ITインフラストラクチャ&セキュリティ セキュリティ担当 リサーチ ディレクターの石橋正彦氏に、サンドボックス型セキュリティ対策製品のニーズや市場動向について話を聞いた。
サンドボックスは、サーバ仮想化でおなじみの仮想化技術を用いるセキュリティ技術だ。実環境に影響を及ぼさない仮想環境で、疑わしいソフトウェアやファイルの“振る舞い”を実際に確認し、シグネチャでは検知できない未知のマルウェアを検知する。
普及状況:日本では黎明期のさらに前段階
「ガートナーは“サンドボックス”という呼び名を使っておらず、当社が2012年に定義した『Advanced Thread Detection(ATD)』の一部だと認識している」と、石橋氏は説明する。まだ登場したばかりの技術・製品であるため、まだ定義中だというのが正直なところだ。とはいえ、「国内市場ではサンドボックスという名称が浸透しており、多くのベンダーがこの名を使っている」(石橋氏)。
サンドボックス型セキュリティ対策製品は、米FireEyeのアプライアンス「FireEye Malware Protection System」によって日の目を見た。すぐ後を追って米Palo Alto Networksが製品を投入。その後、国内ベンダーのFFRIやファイアウォールの老舗であるイスラエルのCheck Point Software Technologiesが続き、米McAfee、トレンドマイクロ、米Fortinet、米Websenseらが、2013年に相次いでサンドボックス型製品を提供している。
もともとFireEyeの技術は、「米国政府が軍事用に開発させて、民間に応用したものだった」(石橋氏)という。「登場当初は、『日本では売りにくいのではないか』と考えたが、徐々に浸透して市場に受け入れられていった」と石橋氏は説明する。
各社がサンドボックスを次々と投入したのはなぜか。石橋氏は、「FireEyeがサンドボックスの技術を可視化し、ユーザー企業へ詳しく説明したことにある」と推測する。
サンドボックスの技術自体は、仮想化技術を用いてクライアントPC環境を構築し、そこでマルウェアを実際に稼働させるという単純な仕組みだ。「もともとセキュリティベンダー各社は、自社のセキュリティ研究組織で仮想化技術を活用し、マルウェアや攻撃を検証していたと考えられる。ただし、その技術を公にすることはなかった。FireEyeの成功を見て、こうした技術を慌てて製品化し、市場に投入してきたというのが実際のところだろう」(石橋氏)
ただし、主要なセキュリティベンダーである米Symantecは、現時点では「サンドボックス」と称する製品を提供していない。
登場の背景:“グレーゾーン”を減らす最終防衛ラインとしてニーズが高まる
サンドボックス技術は、マルウェア/スパム対策の“誤検知問題”を解決する手段としてニーズが高まった。
一般的なマルウェア/スパム対策製品は、技術的には97~98%もの高い検知率を達成している。問題は、その高い誤検知率の“副作用”が、ビジネスに大きな影響を与えるところにある。マルウェア/スパム対策の検知率を高めると、正常なメールやファイルまでもが悪意のあるものとして判断されることがあるからだ。
こうした誤検知で重要なファイルやビジネスメールまでも遮断してしまう状況を避けるため、セキュリティベンダーは、“黒”(悪意のある)と“白”(正常な)の中間となる「グレー」という判定指針を設けた。完全に黒だといえないものについては、ユーザーに判断を任せるというスタンスである。
「誤検知の問題は、10年以上も画期的な解決策がない状況だった。現状では、検知率をあえて60%程度にし、20~30%をグレーだと判断するマルウェア/スパム対策製品も珍しくない」(石橋氏)
“グレー”の中から本物のマルウェア/スパムを見つけ出す
ここで問題となるのが、「グレーと判断されたメールやファイルの中にマルウェアやスパムが含まれていても、人間には判断できないケースがあることだ」と、石橋氏は指摘する。
メールを例にして考えてみよう。日常業務で使っているアプリケーションのベンダーをかたるスパムメールに、セキュリティアップデートを偽装したフィッシングサイトのURLが記載されていたとする。このURLがマルウェア/スパム対策製品のデータベースに存在していなければ検知は難しく、グレーと判断せざるを得ない。
さらに、メール本文の内容が「ベンダーのメールだ」と判断してもおかしくないように精巧に作られていれば、間違ってクリックしてしまうユーザーも少なくないはずだ。結果としてフィッシングサイトへ誘導され、個人情報を詐取されたり、端末にマルウェアを仕込まれたりしてしまう。
こうした手の込んだスパムやマルウェアを確実にチェックできるセキュリティ製品は「これまでなかった」と石橋氏は語る。サンドボックスは最後のチェック、つまりURLのクリックやファイルの実行といった作業を仮想環境で代行する。こうすることで、グレー判定のファイルやメールの中から、人手に頼らずにマルウェアやスパムを見つけ出すことができる、というわけだ。
サンドボックスは、高度なサイバー攻撃を防ぐというよりは、「さまざまなセキュリティ製品の“チェック漏れ”をいかに拾うかに焦点を当てた技術だといえる」(石橋氏)。
提供形態:アプライアンスとオンラインサービスに大別
サンドボックス製品の提供手法は、大きく2つに分けられる。仮想環境の動作環境をアプライアンスとして提供するか、オンラインサービスとして提供するかの違いだ。仮想環境でクライアントOSを稼働させ、ユーザーの代わりにマルウェアを稼働/感染させて挙動を見るというサンドボックスの基本的な仕組みは、いずれも同様である。
アプライアンス型の場合、それなりにスペックの高いハードウェアを導入する必要がある。複数の仮想マシンを起動し、日々送られてくるマルウェアを継続的にチェックする必要があるからだ。
一方のオンラインサービス型は、分析が必要なデータをセキュリティベンダーのデータセンターへ送り、ハイエンドな仮想環境で高速にチェックする仕組みである。ユーザー企業の拠点に設置するハードウェアは、比較的スペックが低くてもサンドボックスの性能が目立って低下することはない。ただし、重要なデータがデータセンターに送られる可能性は否定できない。
「ヨーロッパでは一般的だが、組織によっては、規則で重要なデータを海外に持ち出せないケースもある。そのため、国内に閉じたシステムを好む企業もあるだろう」
ベンダーによって提供形態に差が
上述した観点を踏まえた上で、代表的なサンドボックス製品を見ていこう。
ファイア・アイの「FireEye Web Malware Protection System」「FireEye Email Malware Protection System」は、それぞれアプライアンス内に仮想環境を構築する。FFRIの「FFR tabaru」やトレンドマイクロの「Deep Discovery Advisor」も同様の仕組みを持つ。マカフィーの「McAfee Advanced Threat Defense」も同様だが、同社製品と組み合わせて導入する必要があり、単体で導入することはできない。
サンドボックス機能をオンラインサービスとして提供しているベンダーは、パロアルトネットワークスやウェブセンス・ジャパン、チェック・ポイント・ソフトウェア・テクノロジーズ、フォーティネットジャパンと比較的多い。
パロアルトネットワークスの「WildFire」は、同社の次世代ファイアウォール製品「PAシリーズ」と組み合わせて利用するオンラインサービスだ。国内ではNTTコミュニケーションズの国内データセンターにサンドボックスのシステムを設置してサービスを提供しているので、前述のように海外へのデータ転送が難しい企業や組織に適している。また、WildFireと同等の機能をオンプレミスで構築できるアプライアンス「WF-500」も提供する。
ウェブセンス・ジャパンは、同社のゲートウェイセキュリティアプライアンス「Websense Web Security Gateway」の有償オプションとして、サンドボックス機能を持つオンラインサービス「Websense TRITON ThreatScope」を提供する。チェック・ポイントのサンドボックスサービス「Check Point ThreatCloud Emulation Service」は、単体での利用が可能な他、同社のゲートウェイセキュリティ製品で検出したファイルを転送して解析することもできる。
フォーティネットジャパンは、アプライアンス型のサンドボックス製品である「FortiSandbox」に加え、同社の統合脅威管理(UTM)製品のファームウェア「FortiOS」の機能としてオンラインサービスを使ったサンドボックス機能を提供する。
製品選定ポイント:性能やDCの設置場所に注目
サンドボックス製品の選定ポイントは、前述したように、アプライアンス型であればハードウェア性能、オンラインサービス型であれば運用基盤となるデータセンターの設置場所、ということになる。
アプライアンス型については、「安価なアプライアンス製品を導入したところ、ネットワーク速度の明らかな低下を体感したために、性能の高いモデルに取り換えた事例もある」と石橋氏は指摘する。一方のオンラインサービス型については、「重要なデータを扱うユーザー企業は、国内データセンターを使用するWildFireのように、海外にデータを転送しないサービスが適する」(石橋氏)。
サンドボックス製品は、これまでのゲートウェイセキュリティ製品を置き換えるものではなく、エンドポイントの間近で検出漏れを防ぐ、いわば“最終防衛ライン”である。一般的にサンドボックス製品は高額であるため、予算に応じてミッションクリティカルな部門から導入を始めるのもよい。
「サンドボックスは国内において、“黎明期”にも入っていない登場したばかりの技術/製品だ。市場が形成されていくのは、2014年後半から2015年にかけてのこととなるだろう」と石橋氏は予測する。
マルウェアによっては、サンドボックスなどの特殊な環境で稼働していることを認識し、動作を停止するものも報告されている。サンドボックスベンダーがこうしたマルウェアへの対処を進めることで、安全性はより高まると考えられる。
NTTコミュニケーションズのように、サンドボックス機能をマネージドサービスの1つとして提供するケースも登場しており、今後、導入の選択肢は増えていくはずだ。脅威の状況と製品の成熟度をしっかりと見据えて、効果的な導入を検討したいものである。
課題は興味があったが 内容は漠然としている
標的型攻撃は、IT/非IT問わず、さまざまな攻撃技術を組み合わせて機密情報や個人情報の窃取を狙い、多くの企業IT担当者を悩ませている。標的型攻撃の特徴は、ターゲットとなる組織に合わせてマルウェアを用意することにある。
マルウェアは近年、急速にコモディティ化が進み、例えば既存マルウェアの亜種であれば、高度なスキルがなくても簡単に作成できるようになった。そのため、シグネチャ型の対策では検知が難しい「未知の攻撃」を仕掛けることも容易になっている。
こうした中、セキュリティベンダーが相次いで市場投入しているのが、「サンドボックス」という技術を用いたセキュリティ製品だ。ガートナー ジャパン リサーチ部門 ITインフラストラクチャ&セキュリティ セキュリティ担当 リサーチ ディレクターの石橋正彦氏に、サンドボックス型セキュリティ対策製品のニーズや市場動向について話を聞いた。
サンドボックスは、サーバ仮想化でおなじみの仮想化技術を用いるセキュリティ技術だ。実環境に影響を及ぼさない仮想環境で、疑わしいソフトウェアやファイルの“振る舞い”を実際に確認し、シグネチャでは検知できない未知のマルウェアを検知する。
普及状況:日本では黎明期のさらに前段階
「ガートナーは“サンドボックス”という呼び名を使っておらず、当社が2012年に定義した『Advanced Thread Detection(ATD)』の一部だと認識している」と、石橋氏は説明する。まだ登場したばかりの技術・製品であるため、まだ定義中だというのが正直なところだ。とはいえ、「国内市場ではサンドボックスという名称が浸透しており、多くのベンダーがこの名を使っている」(石橋氏)。
サンドボックス型セキュリティ対策製品は、米FireEyeのアプライアンス「FireEye Malware Protection System」によって日の目を見た。すぐ後を追って米Palo Alto Networksが製品を投入。その後、国内ベンダーのFFRIやファイアウォールの老舗であるイスラエルのCheck Point Software Technologiesが続き、米McAfee、トレンドマイクロ、米Fortinet、米Websenseらが、2013年に相次いでサンドボックス型製品を提供している。
もともとFireEyeの技術は、「米国政府が軍事用に開発させて、民間に応用したものだった」(石橋氏)という。「登場当初は、『日本では売りにくいのではないか』と考えたが、徐々に浸透して市場に受け入れられていった」と石橋氏は説明する。
各社がサンドボックスを次々と投入したのはなぜか。石橋氏は、「FireEyeがサンドボックスの技術を可視化し、ユーザー企業へ詳しく説明したことにある」と推測する。
サンドボックスの技術自体は、仮想化技術を用いてクライアントPC環境を構築し、そこでマルウェアを実際に稼働させるという単純な仕組みだ。「もともとセキュリティベンダー各社は、自社のセキュリティ研究組織で仮想化技術を活用し、マルウェアや攻撃を検証していたと考えられる。ただし、その技術を公にすることはなかった。FireEyeの成功を見て、こうした技術を慌てて製品化し、市場に投入してきたというのが実際のところだろう」(石橋氏)
ただし、主要なセキュリティベンダーである米Symantecは、現時点では「サンドボックス」と称する製品を提供していない。
登場の背景:“グレーゾーン”を減らす最終防衛ラインとしてニーズが高まる
サンドボックス技術は、マルウェア/スパム対策の“誤検知問題”を解決する手段としてニーズが高まった。
一般的なマルウェア/スパム対策製品は、技術的には97~98%もの高い検知率を達成している。問題は、その高い誤検知率の“副作用”が、ビジネスに大きな影響を与えるところにある。マルウェア/スパム対策の検知率を高めると、正常なメールやファイルまでもが悪意のあるものとして判断されることがあるからだ。
こうした誤検知で重要なファイルやビジネスメールまでも遮断してしまう状況を避けるため、セキュリティベンダーは、“黒”(悪意のある)と“白”(正常な)の中間となる「グレー」という判定指針を設けた。完全に黒だといえないものについては、ユーザーに判断を任せるというスタンスである。
「誤検知の問題は、10年以上も画期的な解決策がない状況だった。現状では、検知率をあえて60%程度にし、20~30%をグレーだと判断するマルウェア/スパム対策製品も珍しくない」(石橋氏)
“グレー”の中から本物のマルウェア/スパムを見つけ出す
ここで問題となるのが、「グレーと判断されたメールやファイルの中にマルウェアやスパムが含まれていても、人間には判断できないケースがあることだ」と、石橋氏は指摘する。
メールを例にして考えてみよう。日常業務で使っているアプリケーションのベンダーをかたるスパムメールに、セキュリティアップデートを偽装したフィッシングサイトのURLが記載されていたとする。このURLがマルウェア/スパム対策製品のデータベースに存在していなければ検知は難しく、グレーと判断せざるを得ない。
さらに、メール本文の内容が「ベンダーのメールだ」と判断してもおかしくないように精巧に作られていれば、間違ってクリックしてしまうユーザーも少なくないはずだ。結果としてフィッシングサイトへ誘導され、個人情報を詐取されたり、端末にマルウェアを仕込まれたりしてしまう。
こうした手の込んだスパムやマルウェアを確実にチェックできるセキュリティ製品は「これまでなかった」と石橋氏は語る。サンドボックスは最後のチェック、つまりURLのクリックやファイルの実行といった作業を仮想環境で代行する。こうすることで、グレー判定のファイルやメールの中から、人手に頼らずにマルウェアやスパムを見つけ出すことができる、というわけだ。
サンドボックスは、高度なサイバー攻撃を防ぐというよりは、「さまざまなセキュリティ製品の“チェック漏れ”をいかに拾うかに焦点を当てた技術だといえる」(石橋氏)。
提供形態:アプライアンスとオンラインサービスに大別
サンドボックス製品の提供手法は、大きく2つに分けられる。仮想環境の動作環境をアプライアンスとして提供するか、オンラインサービスとして提供するかの違いだ。仮想環境でクライアントOSを稼働させ、ユーザーの代わりにマルウェアを稼働/感染させて挙動を見るというサンドボックスの基本的な仕組みは、いずれも同様である。
アプライアンス型の場合、それなりにスペックの高いハードウェアを導入する必要がある。複数の仮想マシンを起動し、日々送られてくるマルウェアを継続的にチェックする必要があるからだ。
一方のオンラインサービス型は、分析が必要なデータをセキュリティベンダーのデータセンターへ送り、ハイエンドな仮想環境で高速にチェックする仕組みである。ユーザー企業の拠点に設置するハードウェアは、比較的スペックが低くてもサンドボックスの性能が目立って低下することはない。ただし、重要なデータがデータセンターに送られる可能性は否定できない。
「ヨーロッパでは一般的だが、組織によっては、規則で重要なデータを海外に持ち出せないケースもある。そのため、国内に閉じたシステムを好む企業もあるだろう」
ベンダーによって提供形態に差が
上述した観点を踏まえた上で、代表的なサンドボックス製品を見ていこう。
ファイア・アイの「FireEye Web Malware Protection System」「FireEye Email Malware Protection System」は、それぞれアプライアンス内に仮想環境を構築する。FFRIの「FFR tabaru」やトレンドマイクロの「Deep Discovery Advisor」も同様の仕組みを持つ。マカフィーの「McAfee Advanced Threat Defense」も同様だが、同社製品と組み合わせて導入する必要があり、単体で導入することはできない。
サンドボックス機能をオンラインサービスとして提供しているベンダーは、パロアルトネットワークスやウェブセンス・ジャパン、チェック・ポイント・ソフトウェア・テクノロジーズ、フォーティネットジャパンと比較的多い。
パロアルトネットワークスの「WildFire」は、同社の次世代ファイアウォール製品「PAシリーズ」と組み合わせて利用するオンラインサービスだ。国内ではNTTコミュニケーションズの国内データセンターにサンドボックスのシステムを設置してサービスを提供しているので、前述のように海外へのデータ転送が難しい企業や組織に適している。また、WildFireと同等の機能をオンプレミスで構築できるアプライアンス「WF-500」も提供する。
ウェブセンス・ジャパンは、同社のゲートウェイセキュリティアプライアンス「Websense Web Security Gateway」の有償オプションとして、サンドボックス機能を持つオンラインサービス「Websense TRITON ThreatScope」を提供する。チェック・ポイントのサンドボックスサービス「Check Point ThreatCloud Emulation Service」は、単体での利用が可能な他、同社のゲートウェイセキュリティ製品で検出したファイルを転送して解析することもできる。
フォーティネットジャパンは、アプライアンス型のサンドボックス製品である「FortiSandbox」に加え、同社の統合脅威管理(UTM)製品のファームウェア「FortiOS」の機能としてオンラインサービスを使ったサンドボックス機能を提供する。
製品選定ポイント:性能やDCの設置場所に注目
サンドボックス製品の選定ポイントは、前述したように、アプライアンス型であればハードウェア性能、オンラインサービス型であれば運用基盤となるデータセンターの設置場所、ということになる。
アプライアンス型については、「安価なアプライアンス製品を導入したところ、ネットワーク速度の明らかな低下を体感したために、性能の高いモデルに取り換えた事例もある」と石橋氏は指摘する。一方のオンラインサービス型については、「重要なデータを扱うユーザー企業は、国内データセンターを使用するWildFireのように、海外にデータを転送しないサービスが適する」(石橋氏)。
サンドボックス製品は、これまでのゲートウェイセキュリティ製品を置き換えるものではなく、エンドポイントの間近で検出漏れを防ぐ、いわば“最終防衛ライン”である。一般的にサンドボックス製品は高額であるため、予算に応じてミッションクリティカルな部門から導入を始めるのもよい。
「サンドボックスは国内において、“黎明期”にも入っていない登場したばかりの技術/製品だ。市場が形成されていくのは、2014年後半から2015年にかけてのこととなるだろう」と石橋氏は予測する。
マルウェアによっては、サンドボックスなどの特殊な環境で稼働していることを認識し、動作を停止するものも報告されている。サンドボックスベンダーがこうしたマルウェアへの対処を進めることで、安全性はより高まると考えられる。
NTTコミュニケーションズのように、サンドボックス機能をマネージドサービスの1つとして提供するケースも登場しており、今後、導入の選択肢は増えていくはずだ。脅威の状況と製品の成熟度をしっかりと見据えて、効果的な導入を検討したいものである。
課題は興味があったが 内容は漠然としている
空腹 @kufuku_001