アプリの“自滅”でOS保護、進化する「サンドボックス」:エンドポイントセキュリティに新たな兵器
システムから隔離された領域でアプリを動作させる「サンドボックス」技術。ハードレベルの仮想化技術を活用する新技術も登場した。最新の技術、製品動向を示す。
デスクトップのセキュリティ対策として、アプリケーションをサンドボックス化するアプローチが加速している。だが、この方法はまだ万能とは言いにくいと、専門家はくぎを刺す。
サンドボックス化の技術は、米新興企業のBromiumがリリースした「Bromium vSentry」によって、あらためて脚光を浴びた。vSentryは、従来型のソフトウェアをベースとするアプローチではなく、ハードウェアベースのサンドボックスを採用した。IT部門はこの製品で、セキュリティ破りを防ぐ手段を手にすることになるかもしれない。だが中には、このコンセプトに完全には納得していないIT専門家もいる。こうした専門家は、JavaやGoogle Chromeが採用する、より一般的なソフトウェアベースのアプローチにも弱点があると指摘する(参考:Java狙いの攻撃が活発化、米Oracleはどう対処している?)。
エンタープライズ向けのソフトウェアセキュリティコンサルティングを手掛ける、米Cigitalのギャリー・マグロウ氏は言う。「IT部門が振りかざせるような魔法のつえや、セキュリティ問題を解決してくれる魔法の呪文は存在しない。サンドボックスは、セキュリティ対策に加わった新たな兵器であり、IT部門はできる限りの兵器を配備するだけだ」
次世代のデスクトップセキュリティソフト
従来型のマルウェア対策ソフトは、感染したマシンから既知のマルウェアを検出する。ネットワークファイアウォールは、不正なパケットに対して守りを固める。ただし、両ツールとも攻撃の検出をベースとしている。残念ながら、現代の攻撃経路は検出不可能なことも多く、結果として多くの企業が脆弱な状態になっている。
IT部門は、ソフトウェアのパッチ適用に気を配り、アプリケーションスタックからネットワークインフラまでセキュリティ対策を階層化し、アプリケーションが「攻撃されたときに機能停止したりしないよう」、ベンダーと連携する必要があるとマグロウ氏は話す。
BromiumのvSentryは、「Bromium Microvisor」と呼ばれる同社独自の技術を使い、生成されたタスクを仮想コンテナに隔離する。Microvisorは、ユーザーがURLをクリックしたり、メールの添付ファイルを開いたり、外付けUSBメモリのファイルへアクセスしたりすると、即座に起動する。
マルウェア配布サイトに誘導するURLをユーザーがクリックしたとしても、そのマルウェアのコードは、コンテナ外にあるOSの他の部分には一切アクセスできない。
ハードウェア仮想化技術でマルウェアの行動を食い止める
タスクの実行に不要なシステムリソースは、「最少権限」の原則に従って隔離される。マルウェアがOSの他の部分へアクセスしようとすると、Intel製ハードウェアが搭載する仮想化技術が働き、そのタスクを直ちに食い止める。
Copyright © ITmedia, Inc. All Rights Reserved.