サンドボックスの弱点が鍵 “復元機能付き”ランサムウェア対策の仕組みとは：エンドポイントで動くサンドボックス【中編】

セキュリティベンダーWith Secureが開発した「Activity Monitor」は、サンドボックスは“処理が重い”という課題意識から生まれた。サンドボックスとは何が違い、ランサムウェア対策としてどのように活用できるのか。

[Alex Scroxton，TechTarget]

セキュリティベンダーのWithSecureは、「サンドボックス」に代わるセキュリティ機能として「Activity Monitor」を開発した。Activity Monitorはランサムウェア（身代金要求型マルウェア）によるデータ暗号化の対策に活用可能だという。そもそもサンドボックスにはどのような課題があり、Activity Monitorはサンドボックスと何が違うのか。

「サンドボックスの弱点」を克服する機能とは？

併せて読みたいお薦め記事

連載：エンドポイントで動くサンドボックス

• 前編：「サンドボックスのようだが仕組みが違う」セキュリティ新機能は何がすごい？

ランサムウェアの最新対策

• エアギャップはなぜ重要か　「論理的エアギャップ」との違いは
• ランサムウェア対策にも使える「CDP」とは？　バックアップを“楽勝”に

　サンドボックスは本番環境に影響を及ぼさない仮想環境でプログラムを実行することで、安全性を確認できる仕組みを指す。Activity Monitorは、サンドボックスのように隔離された環境で疑わしいプログラムを実行するのではなく、まずシステムとデータのバックアップを作成し、セッション（接続の単位）を監視しながらプログラムを実行する。

　プログラム実行時に、有害な可能性のある変更を検出した場合は、プロセスをブロックし、バックアップを利用してプログラムを実行する前の状態に戻す。「Activity Monitorはランサムウェアによるデータ暗号化を阻止できる」とWithSecureは説明する。

　WithSecureのリードリサーチャーであるブロデリック・アキリーノ氏はサンドボックスの課題を次のように指摘する。「サンドボックスの処理には遅延がある。ユーザーはプログラムの実行後、分析結果を得るために数分待たなければならない」。ランサムウェア対策としてサンドボックスは有用だが、脅威の分析に時間がかかるため、エンドポイントでの利用にはあまり向いていないという。

　Active Monitorはバックグラウンドで動作するため、実際にランサムウェアがファイルを暗号化しようとするまでこの機能に気付くことはない。「ユーザーが操作しなくてもランサムウェアを削除して、自動的にロールバック（元に戻す）する機能を備えるのがActivity Monitorだ」とアキリーノ氏は述べる。WithSecureは、同社が提供するエンドポイント保護ツールにActivity Monitorを組み込む。

---

　後編は、Activity Monitorをランサムウェア攻撃対策以外に活用する可能性について解説する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。