米Google、サンドボックスプロジェクト「Sandboxed API」をオープンソースに

[鈴木聖子，ITmedia]

　米Googleは、社内で使っていたセキュリティ対策プロジェクトの「Sandboxed API」をオープンソースとして公開した。セキュリティ対策のサンドボックスを簡単に実装できるようにすることで、信頼できないコンテンツからシステムを守る対策に役立ててもらう狙い。

　Googleによると、例えばユーザーが投稿した画像ファイルなど、外部からのデータには不正なコードが含まれている恐れがあり、そうしたデータをソフトウェアで処理する際に、脆弱（ぜいじゃく）性を悪用されることがある。

　この問題を緩和するために使われるのが、隔離された環境の中で信頼できないコンテンツを実行する「サンドボックス」という手段。これにより、たとえリモートコード実行の脆弱性を悪用された場合でも、他のインフラに影響が及ぶ事態を阻止できる。

Googleがブログで公開した「Sandboxed API」の解説図

　サンドボックス技術は、攻撃に対して高い耐性を備えながら、ソフトウェア開発者が簡単に使えるものでなければならない。しかし隔離が不十分なツールや、実装に手間がかかるツールも多いとGoogleは指摘する。

　同社が公開したSandboxed APIでは、サンドボックスを個々のソフトウェアライブラリに実装することが可能で、同APIをベースとするライブラリは簡単に他のプロジェクトに再利用できるという。その中核となるサンドボックスプロジェクトの「Sandbox2」も併せて公開した。

　現時点でSandboxed APIは、Cプログラミング言語で開発されたソフトウェアライブラリに使用できる。対応言語は今後増やしていく方針。

　また、現時点でサポートしているOSはLinuxのみで、いずれUNIX系のFreeBSDやOpenBSD、macOSにも対応する方針だが、Windowsへの移植にはまだ時間がかかる見通しだという。