標的型サイバー攻撃対策2　サンドボックス導入時に重要視すべき3つの要素

　ここ数年の標的型サイバー攻撃対策製品で注目を集めたのはやはり、「サンドボックス」技術だろう。この攻撃が主に「未知の脅威」によって引き起こされ、既存の不正検体から取得されたパターン（シグネチャとも呼ばれる、いわば指紋のようなもの）での検出が困難という理解が進む中、振る舞い検出の技術の1つとして仮想環境を利用したサンドボックス機能への注目が高まった。

　標的型サイバー攻撃対策におけるサンドボックス機能とは、仮想環境上に「社内で利用されているPCそっくり」に構築された環境を構築し、不正プログラムの可能性のある添付ファイルなどを実際に開いてみることで、結果何が起こるかを検証する仕組みだ。実環境ではないから、仮に危険なものであったとしても影響はない。

　従来のウイルス対策が主に「パターン」に照らし合わせて判断したのに対し、実際に実行してその結果を見るというアプローチの「サンドボックス」は、パターンでは検出できない（かもしれない）「未知脅威」の検出に役立つというわけだ。このホワイトペーパーではサンドボックスを導入する場合に重要視すべき3つの要素を解説する。