【特集記事】マイナンバーの必需品、サンドボックス製品を選ぶ3つの視点

出典元:TechTargetジャパン 2015年07月30日掲載記事より転載。本記事はTechTargetジャパンの許諾を得て掲載しています。
掲載されておりますサービス内容などは、掲載日または更新日時点のものです。

未知のウイルスも検知
マイナンバー制度開始に向け、有効なセキュリティ対策とされる「サンドボックス」。

だが、一口にサンドボックス製品といっても多様なベンダーが存在する。
機能だけでなく運用も視野に製品を選ぶポイントを解説する。

マルウェアの検知能力に優れたサンドボックス

ニュースでも話題となっている「標的型攻撃」は、従来のセキュリティ製品だけでは十分に対策できないことが大きな問題とされている。攻撃に利用さ れるマルウェアは、ターゲットに合わせて作成された“新種”であるためだ。厳密には、既存の悪性プログラムを改良しているケースが多いものの、パターン マッチング型のアンチウイルスソフトで検知することは難しい。安価なマルウェア作成ツールがインターネットに出回っていることもあって、1日に生成される 新種マルウェアは数十万種類といわれている。

これに対してサンドボックスは絶大な効果を発揮する。新種マルウェアの問題は、一般的なドキュメントファイルやプログラムファイルに偽装されてい たり、多重に暗号化されていたりするため、実際に動かしてみなければ検知できないところにある。それならば動かしてみようというのが、サンドボックスの本 質だ。

サンドボックス内には、一般的なコンピュータを模した仮想マシンが稼働しており、受け取った“疑わしいファイル”を実行し、その後の挙動からマル ウェアかどうかを分析する。仮想マシンは、内部ネットワークとは隔離されているため、感染活動が行われても問題ない。仮想マシンをリセットしてしまえば、 マルウェアがシステムに残ることもない。

ネットワールドのマーケティング本部 マーケティング統括部 クラウドソリューション課 課長代理 渡部 隆氏は、「マイナンバー制度のガイドラインでは、推奨するセキュリティ対策の1つとしてサンドボックスを挙げています。政府が認めるほど、マルウェア対策 に効果的だということです。情報漏えい問題はいまだに大きなニュースとして取り上げられていますので、これを機会にサンドボックスを導入し、セキュリティ レベルを底上げすることをオススメします」と述べる。

ただし、「マルウェア検知」については極めて効果的なサンドボックスではあるが、サンドボックス製品にはさまざまなベンダーがある。セキュリティ 対策に効果的なことはもちろん、運用負荷の掛からない製品を選ぶことも大切だ。今回、渡部氏は、昨今の標的型攻撃に対応するサンドボックス製品として フォーティネットの「FortiSandbox」を推薦している。一般的なサンドボックス製品と比べたメリット、そしてFortiSandboxによる解 決方法とはどのようなものだろうか。

メリット1:運用が自動化される

一般的なサンドボックス製品は「運用」、つまりシステム管理者に掛かる負荷が非常に高い場合が多い。サンドボックスは、基本的にはマルウェアの検 知と通知のみを提供するシステムである。他のゲートウェイセキュリティなどから疑わしいファイルの“コピー”を受け取り、ある程度の時間をかけて分析す る。

つまり、サンドボックスがマルウェアを検知したときには、そのマルウェアは既に組織内部に侵入を果たしていることになる。サンドボックスの通知を 受け取り、その後の対処と今後の対策を練り、報告書を作るのは、多くの場合システム管理者の業務となるだろう。マイナンバー制度では、漏えい事故などの報 告義務が課せられるため、システム管理者の負荷は一層高まることになる。

FortiSandboxでは、未知のマルウェアを検知したとき、自動的にフォーティネットの研究機関である「FortiGuard Labs」に検体を送る。FortiGuard Labsでは、受け取った検体を基にシグネチャを作成し世界中に配布する。FortiSandboxには、アンチウイルスエンジンやクラウドベースの脅威 データ照会などを搭載した「多層型プリフィルタ」が設けられており、次回以降はパターンマッチングでこのマルウェアを素早く検知できるようになる。後述す るが、他のセキュリティ製品と連係すれば、システム管理者の業務はリポートのチェックのみとなる。このリポート作成もFortiSandboxであれば容 易だ。

「FortiSandboxはリポート機能も実に有用です。脅威の活動や全体像、詳細なタイムラインなどを記したリポートが自動的に生成されるため、管理者は内容をチェックするだけ。すぐに経営層へ報告することが可能です」(渡部氏)

メリット2:ゲートウェイセキュリティと連係

FortiSandbox 2つ目のメリットは、フォーティネットのゲートウェイセキュリティ製品「FortiGate」と連係できる点にある。FortiGateは、次世代ファイ アウォールやアンチウイルス、IPS、Webフィルタリングなど、複数のゲートウェイセキュリティ機能を搭載した「UTM(Unified Threat Management)」に分類される製品である。日本のUTM市場では高いシェアを獲得する人気の製品だ。

サンドボックス製品はマルウェアの検知という点では非常に効果的であるが、より効率的な対策を施すためには、他のセキュリティ製品との連係も重要である。中には、ゲートウェイセキュリティ製品との連係に対応していないベンダーもあるため注意されたい。

FortiSandboxとFortiGateを組み合わせることによって、図1のように自動化されたマルウェア検知システムが構築できる。上述し たように、FortiSandboxで検知し、FortiGuard Labsで開発された新種マルウェア向けのシグネチャをFortiGateに配信することで、効果的にマルウェアの侵入をブロックできるというわけだ。

ゲートウェイセキュリティと連係

FortiSandbox側とすれば、疑わしいファイルがFortiGateで事前にフィルタリングされるところにこの組み合わせのメリットがあ る。サンドボックスは検出方式が特殊なため、ハードウェアに大きな負荷を掛けることになる。本当に疑わしいファイルのみを対象とすることで、効率的で高速 な検知が可能になるということだ。さらにFortiGateは、SSL/TLSのデコード機能も搭載しているため、暗号化された通信も分析できるようにな る。

メリット3:メール対策も任せることができる

そして、FortiSandbox 3つ目のメリットには、メールセキュリティに特化した「FortiMail」との連係が強力である点を挙げたい。

標的型攻撃の多くは、最初に従業員へ“標的型攻撃メール”を送付して、マルウェアの感染を試みる。攻撃メールの送付元は偽装され、巧妙な日本語の 文面を用い、受信者にファイルを実行させたり、リンクをクリックさせたりする。上述の通り、標的型攻撃を目的としたメールは極めて巧妙だ。従って、サンド ボックス製品を選定する際には、メールセキュリティ製品と連係できるかどうかも考慮に入れた方がいいだろう。

そこで有効なのがFortiMailである。FortiGateと同様に、疑わしい添付ファイルをFortiSandboxに送付して、マルウェ アかどうかを分析することが可能となる。また、一般的にサンドボックスの役割は検知のみだが、FortiMailと組み合わせればメールに仕込まれたウイ ルスをブロックすることまで可能だ。未知のウイルスも入口でブロックすることで、ウイルスのネットワークへの侵入を防ぐ。

メール対策も任せることができる

メールは重要なビジネスツールの1つであるため、全てのメールをFortiSandboxで長時間かけて分析するわけにはいかない。一方で、リア ルタイム性はそれほど重視されないという特徴もある。FortiMailで怪しいメールのみを一時的に隔離し、安全かどうかを確認することで、効率的な メールセキュリティが実現できるというわけだ。

3つの組み合わせで強力なマルウェア対策を実現

「FortiSandbox、FortiGate、FortiMailという組み合わせによって、強力なマルウェア対策を実現することが可能で す。マルチベンダーの組み合わせよりも運用しやすく、煩雑なリポート作成も必要ありません。ネットワールドであれば、これらの3つの製品全てをまとめて保 守できます。仮想環境にも精通しているため、仮想アプライアンスの導入も当社にお任せください」(渡部氏)

ネットワールドは、フォーティネットと協力体制を敷き、さまざまなセキュリティ製品の開発・検証も共同で行っている。フォーティネット製品の専任 エンジニアを配備しており、多くの知見を蓄えている。まずは間近に迫ったマイナンバー制度のセキュリティ対策強化について、ネットワールドへ相談すること からはじめてはいかがだろうか。

提供:株式会社ネットワールド
アイティメディア営業企画/制作:TechTargetジャパン編集部

PAGE TOP