未知のマルウェアをサンドボックスで動かして怪しい挙動をするかどうか観察、判断するのがサンドボックス型。サンドボックス型ではないというのは、シグネチャベースと思えばいいのかな?シグネチャベースで引っ掛けてセンターに送信。統計的に怪しいシグネチャやシグネチャの組み合わせなどから重要なものをピックアップして情報提供ってことかな?
誤検知率、人手の入り具合、価格が気になるが気になるかな。
ストリーム処理技術とか中でセンター側でどんなことがおこなわれているかも気になる。
米ファイア・アイは、「サンドボックス型」と呼ばれる仮想環境を利用したセキュリティ機器メーカー。2014年1月、インシデント対応サービスを海外で提供していた米マンディアントを買収した。日本国内でも、このインシデント対応サービスを2014年中に提供する。その仕組みや海外での提供中のサービスとの違いを、担当ディレクターのDavid Cowart氏に聞いた。