「サンドボックス (セキュリティ)」の版間の差分

削除された内容追加された内容

インライン

2018年1月22日 (月) 09:58時点における版

コンピュータセキュリティ技術において、サンドボックス（sandbox）は、外部から受け取ったプログラムを保護された領域で動作させることによって、システムが不正に操作されるのを防ぐセキュリティ機構のことをいう^[1]。

実行されるプログラムは保護された領域に入り、ほかのプログラムやデータなどを操作できない状態にされて動作するため、プログラムが暴走したりウイルスを動作させようとしてもシステムに影響が及ばないようになっている。

ウェブページに配置されたJavaアプレットやFlash、JavaScriptなどのプログラムは自動的に実行される。そのため、気づかないうちにコンピュータ上にあるファイルを盗み見られたり書き換えられたり、あるいはコンピュータウイルスに感染させられたりするおそれがある。そこで安心してネットサーフィンを楽しめるように提供されたのが、そういった攻撃のできない安全な「砂箱」(サンドボックス)である。

保護の仕組み

わかりやすいところでは、ファイルの読み書きをできなくしたり、許可なくマイクロフォンから録音できなくしたりすることで保護を実現する。またクロスサイトスクリプティング攻撃からの保護のために、他の（攻撃者のものかもしれない）サイトへの送信が禁止されたり他のサイトの情報を読み込むことが禁止されたりする。

このほかにも、プライバシーやオペレーティングシステムの安全を脅かすことが可能になる、さまざまなことが禁止されている。

サンドボックスへの不満

サンドボックスによる保護は利便性を損ねるものであり、事態を正確に認識できていない者からは不満の声もある。しかしながら、それを許すことはすなわち攻撃者にも利便性を与えることに留意しなければならない。

例えば、もしも「JavaScriptを利用するとメールアドレスを盗まれたりウイルスに感染させられたりする」ということがわかれば、ユーザーは警戒してJavaScriptを使っているウェブページを見なくなってしまう。JavaScriptを使っていると誰も見てくれなくなるので、作る側も誰もJavaScriptを使わなくなってしまう。それはJavaScriptを提供する側の望むところではない。このため、サンドボックスによる保護は強化される一方である。

こういった保護に不満がある場合、それを解除する方法が提供されている場合がある。例えばJavaアプレットに使われているJavaのサンドボックスモデルでは、Javaアプレットに電子署名による署名をおこなうことができる。もしもユーザーがその電子署名を信頼し許可したならば、電子署名を施されたプログラムに限っては保護された領域外にアクセスすることができるようになる。

サンドボックスの例

サンドボックスの例として、次のようなものが挙げられる。

Sandboxie
Javaアプレット
Java Web Start
Adobe Flash
JavaScript及びJavaScriptに基づいているAjax
VMwareやMicrosoft Virtual PCなどの仮想マシン
XAMLブラウザアプリケーション（XBAP）
Google Chrome

その他のサンドボックス

ソフトウェア開発において、バージョン管理システムを利用して構築される特定のバージョンのソフトウェアテスト環境。プレイグラウンドとも呼ばれる。
ウィキで編集のテストを行うページ。

脚注

^ Ian Goldberg, David Wagner, Randi Thomas, and Eric Brewer (1996年). “A Secure Environment for Untrusted Helper Applications (Confining the Wily Hacker)”. Proceedings of the Sixth USENIX UNIX Security Symposium. 2015年10月25日閲覧。

[1] Ian Goldberg, David Wagner, Randi Thomas, and Eric Brewer (1996年). “A Secure Environment for Untrusted Helper Applications (Confining the Wily Hacker)”. Proceedings of the Sixth USENIX UNIX Security Symposium. 2015年10月25日閲覧。

[1]

@@ 1行目: / 1行目: @@
 {{独自研究|date=2011年4月}}
+コンピュータセキュリティ技術において、'''サンドボックス'''（{{lang|en|sandbox}}）は、外部から受け取った[[プログラム (コンピュータ)|プログラム]]を保護された領域で動作させることによって、システムが不正に操作されるのを防ぐセキュリティ機構のことをいう<ref>{{cite web |url=http://www.usenix.org/publications/library/proceedings/sec96/full_papers/goldberg/goldberg.pdf |title=A Secure Environment for Untrusted Helper Applications (Confining the Wily Hacker)|author=Ian Goldberg, David Wagner, Randi Thomas, and Eric Brewer|work=Proceedings of the Sixth USENIX UNIX Security Symposium|year=1996|accessdate=2015-10-25}}</ref>。
-コンピュータセキュリティ技術において、
-'''サンドボックス'''（{{lang|en|sandbox}}）は、外部から受け取った[[プログラム (コンピュータ)|プログラム]]を保護された領域で動作させることによってシステムが不正に操作されるのを防ぐセキュリティ機構のことをいう
-<ref>{{cite web |url=http://www.usenix.org/publications/library/proceedings/sec96/full_papers/goldberg/goldberg.pdf |title=A Secure Environment for Untrusted Helper Applications (Confining the Wily Hacker)|author=Ian Goldberg, David Wagner, Randi Thomas, and Eric Brewer|work=Proceedings of the Sixth USENIX UNIX Security Symposium|year=1996|accessdate=2015-10-25}}</ref>。
 実行されるプログラムは保護された領域に入り、ほかのプログラムやデータなどを操作できない状態にされて動作するため、プログラムが暴走したり[[コンピュータウイルス|ウイルス]]を動作させようとしてもシステムに影響が及ばないようになっている。
-[[ウェブページ]]に配置された[[Javaアプレット]]や[[Adobe Flash|Flash]]、[[JavaScript]]などのプログラムは自動的に実行される。そのため、気づかないうちにコンピュータ上にあるファイルを盗み見られたり書き換えられたり、あるいは[[コンピュータウイルス]]に感染させられたりするおそれがある。そこで安心して[[ネットサーフィン]]を楽しめるように提供されたのが、そういった攻撃のできない安全な「[[砂場]]」(サンドボックス)である。
+[[ウェブページ]]に配置された[[Javaアプレット]]や[[Adobe Flash|Flash]]、[[JavaScript]]などのプログラムは自動的に実行される。そのため、気づかないうちにコンピュータ上にあるファイルを盗み見られたり書き換えられたり、あるいは[[コンピュータウイルス]]に感染させられたりするおそれがある。そこで安心して[[ネットサーフィン]]を楽しめるように提供されたのが、そういった攻撃のできない安全な「[[砂箱]]」(サンドボックス)である。
 == 保護の仕組み ==