システムから隔離された領域でアプリを動作させる「サンドボックス」技術。ハードレベルの仮想化技術を活用する新技術も登場した。最新の技術、製品動向を示す。
デスクトップのセキュリティ対策として、アプリケーションをサンドボックス化するアプローチが加速している。だが、この方法はまだ万能とは言いにくいと、専門家はくぎを刺す。
サンドボックス化の技術は、米新興企業のBromiumがリリースした「Bromium vSentry」によって、あらためて脚光を浴びた。vSentryは、従来型のソフトウェアをベースとするアプローチではなく、ハードウェアベースのサンドボックスを採用した。IT部門はこの製品で、セキュリティ破りを防ぐ手段を手にすることになるかもしれない。だが中には、このコンセプトに完全には納得していないIT専門家もいる。こうした専門家は、JavaやGoogle Chromeが採用する、より一般的なソフトウェアベースのアプローチにも弱点があると指摘する(参考:Java狙いの攻撃が活発化、米Oracleはどう対処している?)。
エンタープライズ向けのソフトウェアセキュリティコンサルティングを手掛ける、米Cigitalのギャリー・マグロウ氏は言う。「IT部門が振りかざせるような魔法のつえや、セキュリティ問題を解決してくれる魔法の呪文は存在しない。サンドボックスは、セキュリティ対策に加わった新たな兵器であり、IT部門はできる限りの兵器を配備するだけだ」
従来型のマルウェア対策ソフトは、感染したマシンから既知のマルウェアを検出する。ネットワークファイアウォールは、不正なパケットに対して守りを固める。ただし、両ツールとも攻撃の検出をベースとしている。残念ながら、現代の攻撃経路は検出不可能なことも多く、結果として多くの企業が脆弱な状態になっている。
IT部門は、ソフトウェアのパッチ適用に気を配り、アプリケーションスタックからネットワークインフラまでセキュリティ対策を階層化し、アプリケーションが「攻撃されたときに機能停止したりしないよう」、ベンダーと連携する必要があるとマグロウ氏は話す。
BromiumのvSentryは、「Bromium Microvisor」と呼ばれる同社独自の技術を使い、生成されたタスクを仮想コンテナに隔離する。Microvisorは、ユーザーがURLをクリックしたり、メールの添付ファイルを開いたり、外付けUSBメモリのファイルへアクセスしたりすると、即座に起動する。
マルウェア配布サイトに誘導するURLをユーザーがクリックしたとしても、そのマルウェアのコードは、コンテナ外にあるOSの他の部分には一切アクセスできない。
タスクの実行に不要なシステムリソースは、「最少権限」の原則に従って隔離される。マルウェアがOSの他の部分へアクセスしようとすると、Intel製ハードウェアが搭載する仮想化技術が働き、そのタスクを直ちに食い止める。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
マーケ担当者はなぜ「広報」を誤解するのか?
「マーケティング」と「広報」活動は似て非なるもの。この連載では2つの業務を兼務する人...
「Metaが本当に腹立たしいのは……」 SnapのCEOがぶっちゃけトークでライバルに痛烈皮肉
SnapのCEO、エヴァン・シュピーゲル氏がソーシャルメディアの進化について、自身の考えを...
SNSの古い常識を疑え!(無料eBook)
ハッシュタグ満載の投稿は時代遅れ。外部サイトへのリンクはいくらシェアしても以前ほど...
ITmediaはアイティメディア株式会社の登録商標です。
