~FortiSandbox 技術ブログ~
【第1回】FortiSandboxとFortiNDRを連携させてみた
FortiSandboxの特長
セキュリティ製品におけるサンドボックスは、未知のソフトウェアやコードを安全に実行するための仮想環境です。「サンドボックス」は子供が遊ぶ砂場に由来しています。この技術を使用すると、プログラムの動作やネットワークへの影響を外部に漏らすことなく観察し、悪意のある挙動を検知することができます。サンドボックス内で活動することで、実際のシステムを保護しつつ、潜在的な脅威を分析することができます。
FortiSandbox(フォーティサンドボックス)は、ネットワークセキュリティソリューションの一部として提供される製品で、サンドボックス技術を利用して未知の脅威やマルウェアを識別し分析する機能を持っています。これにより、従来のセキュリティシステムでは検出が難しいゼロデイ脅威や標的型攻撃から企業のネットワークを保護します。FortiSandboxは、マルウェアの振る舞いを安全な環境で実行することでその動作を観察し、詳細な解析レポートを提供します。また、FortiGate、FortiMail、FortiWeb、FortiADC、FortiProxy、FortiClient(ATP エージェント)などの他のFortinet製品と連携することで、ネットワーク全体で一貫したセキュリティを実現します。
ライセンス体系
Fortinet社では、FortiSandBoxに関して以下のライセンス形態を用意しています。
FortiGate Cloud Sandbox(SaaS) | FortiSandbox Cloud(PaaS) | FortiSandboxアプライアンス | |
---|---|---|---|
提供方式 | 世界中のユーザで共用環境を利用(Saas型) | ユーザ専用の環境を提供(Paas型) | HWまたはVMでアプライアンスを単体購入 |
ゼロデイ脅威分析 | サンドボックス検知 | サンドボックス検知+機械学習 | サンドボックス検知+機械学習 |
検体の送信制限 | 送信制限あり(デバイスタイプ毎) | 検体分析調査用VMインスタンスに依存 | 検体分析調査用VMインスタンスに依存 |
判定時間 | 60分以内 | 3~5分以内 | 3~5分以内 |
レポーティング | ・FortiGateの機器ごとに出力 | ・製品全般をまとめてレポート ・MITRE ATT&CKを含む詳細レポート |
・製品全般をまとめてレポート ・MITRE ATT&CKを含む詳細レポート |
作業範囲 | 初期動作はFortiGateの設定のみ | 初期設定からSandbox設定必要 (インスタンス設立までFortinet社) |
初期設定からSandbox設定必要 (機器設置、インスタンス設立からユーザ作業範囲) |
FortiSandboxとFortiNDRの連携
攻撃者により悪意のあるファイルが配置されたインターネットサイトからユーザが対象ファイルをダウンロードすると、FortiGateは未知の攻撃を行う疑いのあるファイルとして、FortiSandboxへ検査依頼を行います。このとき、サンドボックス製品は実際に検体を動的に分析調査するために、数分程度の時間を費やすことがあります。 FortiSandboxはFortiNDRとも連携することができ、お互いの製品特徴を生かしたファイル検疫を行うことができます。実際に動作させてみないと判別できない検体はFortiSandboxにおいて挙動を確認しますが、FortiNDRによる静的な分析のみで判別できる場合には高速判定処理が期待できます。FortiSandboxとFortiNDRの連携は、お互いの製品メリットを生かした安心、安全なゼロデイ対策を実現できます。FortiSandbox単体による検査、FortiSandboxとFortiNDRの連携による検査を行った場合の性能を見てみましょう。

1. FortiSandbox単体
FortiSandboxは、サンドボックス環境内における検査を行う場合、実際に検体を動作させて攻撃挙動を確認する動的分析(Dynamic Scan)を行います。動的分析は検体を実際に動作させて詳細確認するため、通常は数分程度のスキャン時間を要します。

2. FortiSandboxとFortiNDR連携
FortiSandboxはFortiNDRと連携させると、動的分析を行う前にFortiNDRに検体の検査依頼を行うことができます。FortiSandboxにおける設定は、接続設定さえ行ってしまえばFortiNDR検査のON/OFFだけで設定が完了します。

FortiNDRによる検査で判定が完了する場合には、数秒程度でスキャン結果を返すことが確認できます。

セキュリティのご相談はSCSKへ
SCSKでは、これまでのFortiSandboxの導入実績と知見を活かし、お客様の未知の脅威(ゼロデイ)対策を強力サポートします。FortiSandboxの導入に際しては、お気軽にお問い合わせください。お客様に合わせた最適なソリューションをご提案し、安心のネットワーク環境を実現いたします。
著者
関連製品
-
FortiSandboxゼロデイマルウェアや高度なファイルベースの脅威を検出し、分析します。
- Cloud / SaaS
- Network Security
-
FortiNDR人工知能(AI)と機械学習(ML)を活用してネットワークトラフィックをリアルタイムに分析し、潜在的な脅威を即座に特定します。
- Network Security
-
FortiGate/FortiGateCloud強固なセキュリティ機能を一台で提供する統合脅威管理(UTM)アプライアンスです。
- Cloud / SaaS
- Network Security
- OT Security