ネットワークセキュリティの要諦

長期潜伏、自らを削除--サンドボックスを回避する未知のマルウェア - (page 3)

菅原継顕(Palo Alto Networks)

2014-05-16 07:30

クラウドとオンプレミスのサンドボックスの使い方の違い

 ここで簡単にサンドボックスによるマルウェア解析についてオンプレミスとクラウドの比較をしておきます。

クラウド版のメリット

 一般的にセキュリティベンダー側の設備を使用するので、ユーザー側の費用負担が少ない。他のユーザーで見つかったマルウェアのシグネチャがすぐに全ユーザーに適用される。新たな脅威に対応するためのサンドボックスのアップデートがユーザー側での手間なく実施できる。また大量に疑わしいファイルを解析する場合でもクラウド側のリソースで解析できるので拡張性に優れているなどのメリットがある。

オンプレミス版のメリット

 一方ユーザー側にオンプレミスでサンドボックスを設置する場合、コスト負担は大きくなるもののセキュリティベンダーにすべての疑わしいファイルを送る代わりに、マルウェア判定されたものだけを送るなどの制御が可能になる。送り先がセキュリティベンダーといえども、組織のセキュリティポリシーによりファイルを外部に送ることが制限されている場合はオンプレミス側が適している。

検知にフォーカスか防御まで求めるか

 サンドボックス型のマルウェア解析には、解析に特化したものと防御まで自動化しているものがある。解析に特化したものを導入する際は、検知後のフローを定める必要がある。アラートを受け取った後、ゲートウェイやクライアントのアンチウイルス、IPSベンダーへの検体提供、マルウェアが利用するURLやIPアドレスなどをURLフィルタリングベンダーに提供することにより防御のための各シグネチャが提供される。

 こうした運用が自社で難しい場合は外部のセキュリティ運用会社にアウトソースするか、防御まで自動化されているセキュリティ製品を選択することによりユーザー側の負荷と運用のミスを最小限にすることができます。現に約1800店舗を要する米国大手小売りでは解析にフォーカスしているセキュテリィ製品を導入し、マルウェア検知のアラートが出ていたにもかかわらず適切な対応ができず、結果として約4000万人のクレジットカード情報を漏えいしてしまいました。

 次回はマルウェアのコンピュータ(ホスト)上での動作と、ハッキングやデータを盗むための行動を分析していきます。

菅原 継顕
米パロアルトネットワークス
日本国内で大手アンチウイルスベンダー、UTMベンダーなどでマーケティングを担当し、現在パロアルトネットワークス米国本社でシニアプロダクトマーケティングとして管理系製品、日本とアジア市場を担当。約15年、情報セキュリティに携る。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]