最新のセキュリティ技術の第2は、保護された領域内で怪しいプログラムを実行し、その振る舞いを確認する「サンドボックス」。一般的に「脅威を止める」役目を境界線で果たすのがネットワークセキュリティ(ファイアウォール類)製品となるが、境界線は社内PCと外部サーバとの通信が往来する箇所であり、一般的にパフォーマンスが重視されるため、「フロー制御」または「特定アプリケーションレベルでの制御」(Facebook読み書き、特定ウェブサイト閲覧禁止など)のみが行われる。
そしてコンテンツダウンロードなどについてはプロキシ動作でアンチウイルス向け操作があるのが一般的だ。そのため、ここでは「サンドボックス」と呼ばれる製品群により、未知のマルウェアが仮想空間でどのような挙動をするのかという分析を行うことがマルウェアに対する防御策となる。
しかし、この通例分析に1分以上時間を要する。ウェブ通信において未知のマルウェアの分析を適用する場合、ユーザーへの通信を分析結果が出るまで保留するタイプのものや、いったんユーザーに渡してしまって分析結果を元に対処が求められるものなど、異なる対処が求められる。導入の際は注意が必要だ。
導入形式についてもインライン型で通るもの、既知か未知かに関係なくすべての脅威を分析し、大量のアラート対処が求められるタイプのものや、前段の別製品で既知の脅威はフィルタリングした上で、アドホック型サンドボックスで未知の脅威のみサンドボックス処理を実施するタイプなどがある。よく調査比較をした上で自社環境に合うサンドボックスを選択していく必要がある。
また、未知の脅威の侵入経路は主にウェブとメールである。ウェブについては「水飲み場」的な不正サイトや、それらサイトへの誘導リンクを含むフィッシングメールなどが挙げられる。一方でアイコン上はWordやExcelファイルを装いつつも、その実体は自己実行形式ファイルなど(下図のアイコン画像参照)をメール添付として送付し、クリックを誘うものがある(年金機構もこの手口であった)。