~FortiSandbox 技術ブログ~
【第1回】FortiSandboxとFortiNDRを連携させてみた

FortiSandboxの特長

セキュリティ製品におけるサンドボックスは、未知のソフトウェアやコードを安全に実行するための仮想環境です。「サンドボックス」は子供が遊ぶ砂場に由来しています。この技術を使用すると、プログラムの動作やネットワークへの影響を外部に漏らすことなく観察し、悪意のある挙動を検知することができます。サンドボックス内で活動することで、実際のシステムを保護しつつ、潜在的な脅威を分析することができます。

FortiSandbox(フォーティサンドボックス)は、ネットワークセキュリティソリューションの一部として提供される製品で、サンドボックス技術を利用して未知の脅威やマルウェアを識別し分析する機能を持っています。これにより、従来のセキュリティシステムでは検出が難しいゼロデイ脅威や標的型攻撃から企業のネットワークを保護します。FortiSandboxは、マルウェアの振る舞いを安全な環境で実行することでその動作を観察し、詳細な解析レポートを提供します。また、FortiGate、FortiMail、FortiWeb、FortiADC、FortiProxy、FortiClient(ATP エージェント)などの他のFortinet製品と連携することで、ネットワーク全体で一貫したセキュリティを実現します。

ライセンス体系

Fortinet社では、FortiSandBoxに関して以下のライセンス形態を用意しています。

  FortiGate Cloud Sandbox(SaaS) FortiSandbox Cloud(PaaS) FortiSandboxアプライアンス
提供方式 世界中のユーザで共用環境を利用(Saas型) ユーザ専用の環境を提供(Paas型) HWまたはVMでアプライアンスを単体購入
ゼロデイ脅威分析 サンドボックス検知 サンドボックス検知+機械学習 サンドボックス検知+機械学習
検体の送信制限 送信制限あり(デバイスタイプ毎) 検体分析調査用VMインスタンスに依存 検体分析調査用VMインスタンスに依存
判定時間 60分以内 3~5分以内 3~5分以内
レポーティング ・FortiGateの機器ごとに出力 ・製品全般をまとめてレポート
・MITRE ATT&CKを含む詳細レポート
・製品全般をまとめてレポート
・MITRE ATT&CKを含む詳細レポート
作業範囲 初期動作はFortiGateの設定のみ 初期設定からSandbox設定必要
(インスタンス設立までFortinet社)
初期設定からSandbox設定必要
(機器設置、インスタンス設立からユーザ作業範囲)

FortiSandboxとFortiNDRの連携

攻撃者により悪意のあるファイルが配置されたインターネットサイトからユーザが対象ファイルをダウンロードすると、FortiGateは未知の攻撃を行う疑いのあるファイルとして、FortiSandboxへ検査依頼を行います。このとき、サンドボックス製品は実際に検体を動的に分析調査するために、数分程度の時間を費やすことがあります。 FortiSandboxはFortiNDRとも連携することができ、お互いの製品特徴を生かしたファイル検疫を行うことができます。実際に動作させてみないと判別できない検体はFortiSandboxにおいて挙動を確認しますが、FortiNDRによる静的な分析のみで判別できる場合には高速判定処理が期待できます。FortiSandboxとFortiNDRの連携は、お互いの製品メリットを生かした安心、安全なゼロデイ対策を実現できます。FortiSandbox単体による検査、FortiSandboxとFortiNDRの連携による検査を行った場合の性能を見てみましょう。

FortiSandbox処理イメージ

1. FortiSandbox単体

FortiSandboxは、サンドボックス環境内における検査を行う場合、実際に検体を動作させて攻撃挙動を確認する動的分析(Dynamic Scan)を行います。動的分析は検体を実際に動作させて詳細確認するため、通常は数分程度のスキャン時間を要します。

【FortiSandbox単体】 FortiSandbox管理画面-処理結果

2. FortiSandboxとFortiNDR連携

FortiSandboxはFortiNDRと連携させると、動的分析を行う前にFortiNDRに検体の検査依頼を行うことができます。FortiSandboxにおける設定は、接続設定さえ行ってしまえばFortiNDR検査のON/OFFだけで設定が完了します。

FortiSandbox管理画面 FortiNDRスキャン設定

FortiNDRによる検査で判定が完了する場合には、数秒程度でスキャン結果を返すことが確認できます。

【FortiNDR連携】 FortiSandbox管理画面-処理結果

セキュリティのご相談はSCSKへ

SCSKでは、これまでのFortiSandboxの導入実績と知見を活かし、お客様の未知の脅威(ゼロデイ)対策を強力サポートします。FortiSandboxの導入に際しては、お気軽にお問い合わせください。お客様に合わせた最適なソリューションをご提案し、安心のネットワーク環境を実現いたします。


著者

著者イメージ
T.H
SCSK株式会社 セキュリティ事業本部 セキュリティプロダクト第一部
Fortinet製品に関して技術的な内容を紹介していきます。
FortiOSと一緒に知識もアップグレード!

お問い合わせ

Fortinet製品に関する
問い合わせはこちらから

お役立ち資料

各種お役立ち資料も
取り揃えております

関連ブログ