サンドボックスとは? セキュリティを高めてサイバー攻撃から企業の情報資産を守ろう

  • 投稿日:2022 - 4 - 1
  • 更新日:2024 - 5 - 9
  •   

近年、企業に対するサイバー攻撃が多様化・複雑化しており、セキュリティ対策の重要性が高まっています。なかでも特定の個人・組織を狙った“標的型攻撃”には巧妙な手口が用いられており、完璧な防御を行うことは難しいといわれています。

被害を最小限に抑えるには、攻撃の侵入を防ぐための入り口対策と、侵入後に被害の拡大を防ぐための出口対策で多層的な対策を行うことが重要です。標的型攻撃の入り口対策として用いられている手法の一つに“サンドボックス”があります。

この記事では、サンドボックスの仕組みと導入するメリット・デメリット、標的型攻撃を防ぐためのセキュリティ対策のポイントについて解説します。

サンドボックスとは

サンドボックスとは、プログラムを実行する前にシステムの領域から隔離された仮想環境下で検証を行い、安全性を確認するセキュリティ対策の手法です。サンドボックスには“砂場”という意味があり、子どもを目の届く範囲で遊ばせる砂場になぞらえています。

仮想環境下でプログラムを動作させてから実際の環境で実行することによって、メールの添付ファイルやURLを開く際にウイルスに感染するリスクを防げます。

特定の個人・組織を狙った標的型攻撃や未知のサイバー攻撃に備えるためのセキュリティ対策として導入されています。

▼サンドボックスの役割

  • 悪質なプログラムかどうかを見極める
  • 実行しているプログラムや作成したデータを外部から保護する
  • 仮想マシンを構築してプログラムのテストを行う

なお、標的型攻撃の手法や被害事例についてはこちらの記事で解説しています。併せてご確認ください。

サンドボックスの仕組み

サンドボックスは、さまざまな場面で活用されています。ここでは、3種類のサンドボックスについて仕組みを解説します。

① セキュリティソフトのサンドボックス

1つ目は、アプライアンスやクラウドサービスなどサーバ側のセキュリティ対策で使われるサンドボックスです。マルウェア検知システムに挙げられる、セキュリティソフトのサンドボックスを指します。

▼セキュリティソフトにおけるサンドボックスの仕組み

  1. サンドボックス内の仮想環境下で、添付ファイルやメールに記載されたURLの検証を行う
  2. 疑わしいプログラムがある場合、サンドボックス内でプログラムを実行する
  3. マルウェアのような不正なプログラムと判定された場合には、サンドボックス内で検出・削除される

② クライアントアプリケーションの実行環境としてのサンドボックス

2つ目は、AndroidやiOS、Mac、Windows11などのクライアントアプリケーションの実行環境となるサンドボックスです。OS側でアプリケーションの動作をサンドボックス内で実行するよう設計されています。

 

アプリケーションに保存したデータもサンドボックス内で保存されるため、デバイス本体へのウイルス感染の影響を受けにくい構造となっています。

 

▼クライアントアプリケーションにおけるサンドボックスの仕組み(iOSの場合)

  1. アプリケーションを端末内部の隔離された環境で開く
  2. ほかのアプリケーションやデータへのアクセスが遮断されて、アプリケーション間の通信・増殖などの挙動を防ぐ

③ Windowsサンドボックス

3つ目は、WindowsのローカルPCのなかに、もう一つのWindows環境を仮想的に構築する仕組みのサンドボックスです。Windows10以降で利用できます。

 

▼Windowsサンドボックスの仕組み

  1. Windowsサンドボックスの機能を有効化して、アプリケーションを実行するデスクトップ環境を構築する
  2. サンドボックス内でソフトウェアのインストールや添付ファイルの実行を行い検証する
  3. 危険なプログラムが見つかった場合には、サンドボックスを閉じると自動的に検証したデータが削除される

 

Windowsサンドボックスは、不正なプログラムがないか挙動を検証するためだけでなく、アプリケーション開発を行う際の動作検証用にも活用されています。

サンドボックスのメリット

サンドボックスを活用すると、標的型攻撃や未知のマルウェアの脅威に対応できるメリットがあります。

標的型攻撃の対策に強い

サンドボックスは、標的型攻撃の対策に有効といえます。

企業を狙った代表的な標的型攻撃には、“業務関連のメールを装ってウイルスが仕込まれたファイルやURLを開かせる”という手口があります。

このような標的型攻撃メールは、不特定多数を対象にばらまかれる迷惑メールとは異なり巧妙に作り込まれていることから、既知の攻撃パターンに対して検知するウイルス対策ソフトウェアでは検出されないものも少なくありません。

サンドボックスを活用すれば、既知の攻撃かどうかにかかわらず、添付ファイルやURLを隔離された環境で検証して安全性を確かめることが可能です。

未知のマルウェアも検知できる

サンドボックスは、未知のマルウェアへの対策にも有効といえます。

近年、サイバー攻撃の手法が多様化しており、ゼロデイと呼ばれる未知のマルウェアを使って攻撃を仕掛けてくるケースが見られています。

サンドボックスでは、安全な実行環境で添付ファイルやURLのチェックを行います。従来の攻撃パターンに当てはまらない場合でも、挙動に不審な点があれば検知・削除が行われるため、未知のマルウェアに対するセキュリティ対策を強化することが可能です。

サンドボックスのデメリット

標的型攻撃や未知のマルウェアを防ぐために有効なサンドボックスですが、導入にあたっては注意点があります。

サンドボックスへの対策が施されたマルウェアが存在する

マルウェアのなかには、サンドボックスの中と外で異なる挙動を行うようにプログラムされているものがあります。このような対策が施されている場合、サンドボックスの仕組みでマルウェアを検出することは難しくなります。

検出に時間がかかる

サンドボックスでは、仮想環境下でプログラムを起動させて不審な挙動を検知してから検証するプロセスを踏むため、即時に検出することはできません。マルウェアを検知してから報告までに時間がかかると、脅威への対応が遅れる可能性も考えられます。

サンドボックスだけでない複合的なセキュリティ対策が重要

巧妙化するサイバー攻撃から企業の情報資産を守るには、サンドボックスだけでなく、従業員への教育を行うとともに複数のセキュリティ対策を組み合わせることが重要です。

① 従業員へのセキュリティ教育を行う

標的型攻撃や未知のマルウェアによる被害を防ぐには、従業員の意識を高めることが重要です。セキュリティに関する教育を行い、ソフトウェアのセキュリティ対策や不審なメールへの対処方法などを身につけてもらう必要があります。

 

▼セキュリティ教育の例

  • 不審なメールの見分け方と対応方法を全従業員に共有する
  • 擬似的な標的型攻撃メールを送って訓練を行う
  • ソフトウェアの更新を徹底させる
  • 企業が許可していない端末やアプリケーションを使用しないルールを設ける

 

② マルウェアの防御・検知ができるソフトウェアを導入する

サンドボックスと併せて、スマートフォンやタブレットなどの端末側でセキュリティ対策を行えるソフトウェアを導入する方法があります。

ソフトウェアを活用してマルウェアの侵入を防いだり、侵入された場合にすばやく検知・対処したりできる多層的な対策を行うことで、被害を最小限に抑えられます。

▼活用できる主なソフトウェア

種類 概要
EPP(Endpoint Protection Platform) 端末から侵入した既知の脅威を検出・対処する
NGAV(Next Generation Anti-Virus) AI・機械学習やふるまい検知などの機能を用いて、既知・未知の脅威を検出する
EDR(Endpoint Detection and Response) ネットワークやファイルのログを監視して、端末から侵入した脅威を検出・対処する

 

なお、上記のエンドポイントセキュリティに関する情報は、こちらの記事で詳しく解説しています。併せてご確認ください。

③ MAMツールを導入する

MAM(Mobile Application Management)とは、モバイル端末内のアプリケーションを管理するツールのことです。

 

業務に使用するアプリケーションを管理者側で一元管理できるため、アプリケーションを経由した不正アクセスやマルウェア感染を防止できます。

 

▼MAMの仕組み

  • 端末内にデータを残さず、端末がマルウェアに感染してしまった場合の情報漏えいを防ぐ
  • 業務に使用するアプリケーションごとにアクセス制限やデータの保護を設定して、許可していないリソースにアクセスできないようにする
  • IPアドレスを制御して、端末から不審なWebサイトへアクセスできないようにする

 

なお、MAMについてはこちらの記事で詳しく解説しています。併せてご確認ください。


『moconavi』で企業情報を守ろう

MAMを活用して、標的型攻撃をはじめとするサイバー攻撃に備えるには、『moconavi(モコナビ)』の導入がおすすめです。

moconaviは、サンドボックス化された隔離した環境のアプリケーションです。moconavi内に業務アプリケーションを配置するため、端末上にデータは残りません。万が一、端末がマルウェアに感染してもmoconaviへの侵入を防げます。

また、メールやURLの無効化、添付ファイルのPDF変換によって、標的型攻撃のリスクを無害化できます。

さらに、moconaviアプリでofficeファイルを編集できるため、端末ローカルに一切データを残さずにofficeファイルも編集を行なえます。クラウドやオンプレミスのファイルサーバにファイルを保存することも可能です。

▼標的型攻撃を無害化する仕組み

moconaviにおけるサンドボックスの仕組みは、以下のとおりです。

▼moconaviにおけるサンドボックスの仕組み

対象 詳細
moconaviサーバ ポリシー設定でメールのハイパーリンクやURLを無効化する。添付ファイルは、スクリプトやマクロを除去してPDFへ変換する。
クライアント(moconavi利用者) サンドボックス内かつ暗号化されたうえで業務アプリケーションを実行する環境を利用。万が一ウイルスに感染してもmoconaviアプリ内の業務データには影響を与えない。

 

moconaviはあらゆる階層のサンドボックスの構造を実装しているだけでなく、無害化やデータを残さない独自のセキュリティでサンドボックスの弱点も克服しています。

 

moconaviの詳しい機能については、こちらをご確認ください。

今いる場所がオフィスになる moconaviで安全なテレワーク

リモートワーク ✕ セキュリティ=「?」

リモートワーク ✕ セキュリティ=「?」

リモートワークに必要なセキュリティ対策とは

リモートワークにおけるセキュリティリスクと、その対策についてご紹介。ぜひご活用ください。

この記事をシェアする

関連記事

エンドポイントセキュリティとは?注目される最新のセキュリティ対策を解説 エンドポイントセキュリティとは?注目される最新のセキュリティ対策を解説 MAMとは? 意味や主な機能、BYODへの活用について解説 MAMとは? 意味や主な機能、BYODへの活用について解説