「サンドボックスのようだが仕組みが違う」セキュリティ新機能は何がすごい?:エンドポイントで動くサンドボックス【前編】
ランサムウェア対策としてのサンドボックスは、分析に時間がかかるという課題がある。セキュリティベンダーWith Secureは、サンドボックスと同等の機能を低負荷で実現するツールを開発した。
セキュリティベンダーのWithSecureは、「サンドボックス」によるテスト環境をより利用しやすくする新機能「Activity Monitor」を開発した。サンドボックスのような機能を持ちながら、ランサムウェア(身代金要求型マルウェア)によって暗号化されたデータを元に戻すことができるという。サンドボックスとは何が違うのか。
サンドボックスの限界を打破する機能とは
ランサムウェア対策のツールとして、サンドボックスは一般的に有効だと考えられている。サンドボックスとは、プログラムを実行する際に、本番環境に影響を及ぼさない仮想環境で一度実行して、どのような挙動をするのかを事前に確認する仕組みのことだ。
WithSecureのリードリサーチャーであるブロデリック・アキリーノ氏によれば、従来のサンドボックスには制約がある。「サンドボックスによる分析はリソースを消費するため、その利用に限界がある」とアキリーノ氏は説明する。
Activity Monitorはサンドボックスの仕組みそのものではなく、サンドボックスの機能を再現することで、サンドボックスの制約を克服できるようにした。Activity Monitorは、疑わしいプログラムを隔離された環境で実行するのではなく、まずシステムとデータのバックアップを作成し、セッション(接続の単位)を監視しながらプログラムを実行できるようにする。「マルウェアが引き起こす損害を迅速かつ容易に元に戻すことができる」とWithSecureは強調する。
中編は、Activity Monitorのより詳細な仕組みと、導入時のエンドユーザーの使用感について解説する。
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.