クラウドとオンプレミスのサンドボックスの使い方の違い
ここで簡単にサンドボックスによるマルウェア解析についてオンプレミスとクラウドの比較をしておきます。
クラウド版のメリット
一般的にセキュリティベンダー側の設備を使用するので、ユーザー側の費用負担が少ない。他のユーザーで見つかったマルウェアのシグネチャがすぐに全ユーザーに適用される。新たな脅威に対応するためのサンドボックスのアップデートがユーザー側での手間なく実施できる。また大量に疑わしいファイルを解析する場合でもクラウド側のリソースで解析できるので拡張性に優れているなどのメリットがある。
オンプレミス版のメリット
一方ユーザー側にオンプレミスでサンドボックスを設置する場合、コスト負担は大きくなるもののセキュリティベンダーにすべての疑わしいファイルを送る代わりに、マルウェア判定されたものだけを送るなどの制御が可能になる。送り先がセキュリティベンダーといえども、組織のセキュリティポリシーによりファイルを外部に送ることが制限されている場合はオンプレミス側が適している。
検知にフォーカスか防御まで求めるか
サンドボックス型のマルウェア解析には、解析に特化したものと防御まで自動化しているものがある。解析に特化したものを導入する際は、検知後のフローを定める必要がある。アラートを受け取った後、ゲートウェイやクライアントのアンチウイルス、IPSベンダーへの検体提供、マルウェアが利用するURLやIPアドレスなどをURLフィルタリングベンダーに提供することにより防御のための各シグネチャが提供される。
こうした運用が自社で難しい場合は外部のセキュリティ運用会社にアウトソースするか、防御まで自動化されているセキュリティ製品を選択することによりユーザー側の負荷と運用のミスを最小限にすることができます。現に約1800店舗を要する米国大手小売りでは解析にフォーカスしているセキュテリィ製品を導入し、マルウェア検知のアラートが出ていたにもかかわらず適切な対応ができず、結果として約4000万人のクレジットカード情報を漏えいしてしまいました。
次回はマルウェアのコンピュータ(ホスト)上での動作と、ハッキングやデータを盗むための行動を分析していきます。
- 菅原 継顕
- 米パロアルトネットワークス 日本国内で大手アンチウイルスベンダー、UTMベンダーなどでマーケティングを担当し、現在パロアルトネットワークス米国本社でシニアプロダクトマーケティングとして管理系製品、日本とアジア市場を担当。約15年、情報セキュリティに携る。
