~FortiSandbox 技術ブログ~
【第1回】FortiSandboxとFortiNDRを連携させてみた

FortiSandboxの特長

セキュリティ製品におけるサンドボックスは、未知のソフトウェアやコードを安全に実行するための仮想環境です。「サンドボックス」は子供が遊ぶ砂場に由来しています。この技術を使用すると、プログラムの動作やネットワークへの影響を外部に漏らすことなく観察し、悪意のある挙動を検知することができます。サンドボックス内で活動することで、実際のシステムを保護しつつ、潜在的な脅威を分析することができます。

FortiSandbox（フォーティサンドボックス）は、ネットワークセキュリティソリューションの一部として提供される製品で、サンドボックス技術を利用して未知の脅威やマルウェアを識別し分析する機能を持っています。これにより、従来のセキュリティシステムでは検出が難しいゼロデイ脅威や標的型攻撃から企業のネットワークを保護します。FortiSandboxは、マルウェアの振る舞いを安全な環境で実行することでその動作を観察し、詳細な解析レポートを提供します。また、FortiGate、FortiMail、FortiWeb、FortiADC、FortiProxy、FortiClient（ATP エージェント）などの他のFortinet製品と連携することで、ネットワーク全体で一貫したセキュリティを実現します。

ライセンス体系

Fortinet社では、FortiSandBoxに関して以下のライセンス形態を用意しています。

	FortiGate Cloud Sandbox（SaaS）	FortiSandbox Cloud（PaaS）	FortiSandboxアプライアンス
提供方式	世界中のユーザで共用環境を利用（Saas型）	ユーザ専用の環境を提供（Paas型）	HWまたはVMでアプライアンスを単体購入
ゼロデイ脅威分析	サンドボックス検知	サンドボックス検知＋機械学習	サンドボックス検知＋機械学習
検体の送信制限	送信制限あり（デバイスタイプ毎）	検体分析調査用VMインスタンスに依存	検体分析調査用VMインスタンスに依存
判定時間	60分以内	3～5分以内	3～5分以内
レポーティング	・FortiGateの機器ごとに出力	・製品全般をまとめてレポート・MITRE ATT&CKを含む詳細レポート	・製品全般をまとめてレポート・MITRE ATT&CKを含む詳細レポート
作業範囲	初期動作はFortiGateの設定のみ	初期設定からSandbox設定必要（インスタンス設立までFortinet社）	初期設定からSandbox設定必要（機器設置、インスタンス設立からユーザ作業範囲）

FortiSandboxとFortiNDRの連携

攻撃者により悪意のあるファイルが配置されたインターネットサイトからユーザが対象ファイルをダウンロードすると、FortiGateは未知の攻撃を行う疑いのあるファイルとして、FortiSandboxへ検査依頼を行います。このとき、サンドボックス製品は実際に検体を動的に分析調査するために、数分程度の時間を費やすことがあります。 FortiSandboxはFortiNDRとも連携することができ、お互いの製品特徴を生かしたファイル検疫を行うことができます。実際に動作させてみないと判別できない検体はFortiSandboxにおいて挙動を確認しますが、FortiNDRによる静的な分析のみで判別できる場合には高速判定処理が期待できます。FortiSandboxとFortiNDRの連携は、お互いの製品メリットを生かした安心、安全なゼロデイ対策を実現できます。FortiSandbox単体による検査、FortiSandboxとFortiNDRの連携による検査を行った場合の性能を見てみましょう。