さらに進化するサンドボックスの未来の形とは
フォーティネットは今年6月、最新の多層型サンドボックス「FortiSandbox-1000D」を発表(関連記事)、10月にはその仮想マシン版も提供開始した。
同製品は、アンチウイルスエンジン、クラウドデータベースとの照会、コードエミュレーション(仮想マシン回避技術やコード難読化を検出)などの多層型プリフィルタで不審なファイルを分析し、その後に仮想マシン環境へ渡す。そうすることで、検証時間のかかるサンドボックスの手前である程度脅威を取り除くことができる仕組みだ。さらに、検証結果をベースにシグネチャーが作成され、FortiGateサービスを通じて配信、FortiGateやFortiMailなど各種製品へ適用される。
「サンドボックス技術は10年以上前から社内で開発、利用しており、実績は長い」。VPプロダクトマネジメントのロバート・メイ氏はそう説明する。
メイ氏は、今のサンドボックスはIDSと同じレベルにいると述べる。「マルウェアを検知してもその分析には人間の手が必要で、フォルスポジティブ(誤検知)も多い。SOCで使う分析ツールのような位置づけだ」。
それが、IDSが進化しように、サンドボックスもIPSのような自動防御機能を備える形で展開しているという。
だが、フォーティネットが目指すのは、さらにその先だ。
「これからのサンドボックスには、ダイナミックAPTビヘイビアと相関分析エンジンが必須となるだろう。たとえばローカルなマルウェア感染を検知した場合、相関分析エンジンを使って検証、すぐにシグネチャーを作成して関連製品へアップデートをかけるイメージだ。ローカルレベルで感染を防ぐことができるほか、グローバルへの感染拡大も阻止できる」。
同社では、来年春から夏あたりの発表を目安に、次世代型のサンドボックス製品の開発を進めているとメイ氏は明かした。