システムから隔離された領域でアプリを動作させる「サンドボックス」技術。ハードレベルの仮想化技術を活用する新技術も登場した。最新の技術、製品動向を示す。
デスクトップのセキュリティ対策として、アプリケーションをサンドボックス化するアプローチが加速している。だが、この方法はまだ万能とは言いにくいと、専門家はくぎを刺す。
サンドボックス化の技術は、米新興企業のBromiumがリリースした「Bromium vSentry」によって、あらためて脚光を浴びた。vSentryは、従来型のソフトウェアをベースとするアプローチではなく、ハードウェアベースのサンドボックスを採用した。IT部門はこの製品で、セキュリティ破りを防ぐ手段を手にすることになるかもしれない。だが中には、このコンセプトに完全には納得していないIT専門家もいる。こうした専門家は、JavaやGoogle Chromeが採用する、より一般的なソフトウェアベースのアプローチにも弱点があると指摘する(参考:Java狙いの攻撃が活発化、米Oracleはどう対処している?)。
エンタープライズ向けのソフトウェアセキュリティコンサルティングを手掛ける、米Cigitalのギャリー・マグロウ氏は言う。「IT部門が振りかざせるような魔法のつえや、セキュリティ問題を解決してくれる魔法の呪文は存在しない。サンドボックスは、セキュリティ対策に加わった新たな兵器であり、IT部門はできる限りの兵器を配備するだけだ」
従来型のマルウェア対策ソフトは、感染したマシンから既知のマルウェアを検出する。ネットワークファイアウォールは、不正なパケットに対して守りを固める。ただし、両ツールとも攻撃の検出をベースとしている。残念ながら、現代の攻撃経路は検出不可能なことも多く、結果として多くの企業が脆弱な状態になっている。
IT部門は、ソフトウェアのパッチ適用に気を配り、アプリケーションスタックからネットワークインフラまでセキュリティ対策を階層化し、アプリケーションが「攻撃されたときに機能停止したりしないよう」、ベンダーと連携する必要があるとマグロウ氏は話す。
BromiumのvSentryは、「Bromium Microvisor」と呼ばれる同社独自の技術を使い、生成されたタスクを仮想コンテナに隔離する。Microvisorは、ユーザーがURLをクリックしたり、メールの添付ファイルを開いたり、外付けUSBメモリのファイルへアクセスしたりすると、即座に起動する。
マルウェア配布サイトに誘導するURLをユーザーがクリックしたとしても、そのマルウェアのコードは、コンテナ外にあるOSの他の部分には一切アクセスできない。
タスクの実行に不要なシステムリソースは、「最少権限」の原則に従って隔離される。マルウェアがOSの他の部分へアクセスしようとすると、Intel製ハードウェアが搭載する仮想化技術が働き、そのタスクを直ちに食い止める。
Copyright © ITmedia, Inc. All Rights Reserved.
「TikTok禁止」は結局、誰得? どうするトランプ氏――2025年のSNS大予測(TikTok編)
米国での存続を巡る議論が続く一方で、アプリ内ショッピングやAI機能の拡大など、TikTok...
ネットの口コミを参考に8割超が商品を購入 最も参考にした口コミの掲載先は?
ホットリンクは、口コミ投稿の経験や購買への影響を調査した結果を発表した。
「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...