すべてのファイルとプログラムはシステムに痕跡を残します。他のファイルにアクセスしたり、Windows リソースを使用したり、レジストリにエントリを作成したり、追加のソフトウェアをインストールしたりします。
最良のシナリオでは、ソフトウェアのアンインストールルーチンによって関連ファイルとレジストリエントリがすべて削除されない限り、Windowsが混乱するだけです。最悪のシナリオでは、マルウェアがシステムに感染したり、ランサムウェアによってファイルが暗号化されたりする可能性があります。
新しいプログラムを試したり、不明なファイルを開いたりする場合は、実行中のシステムとは別の特に安全な環境で行うのが最適です。サンドボックスはまさにこれを実現します。
サンドボックスでプログラムを開くと、プログラムは期待どおりに動作しますが、システムに永続的な変更を加えたり、環境外のリソースにアクセスしたりすることはできません。サンドボックスはこれを防ぎ、アクセスをリダイレクトし、プログラムを閉じるときにプログラムとプログラム自体のすべてのアクティビティを削除します。
したがって、サンドボックスを使用すると、リスクを低減して新しいソフトウェアを試したり、疑わしいソースからのプログラムをインストールしたり、潜在的に安全でない Web サイトを閲覧したり、システムをクリーンな状態に保ったりすることができます。
Windows のプログラムとファイルに適したサンドボックスを設定して使用するさまざまな方法を紹介します。これらの方法は、Windows のオンボード リソースや仮想システムから、独自のサンドボックス機能を備えたブラウザーやプログラムまで多岐にわたります。
ほとんどのユーザーにとって最もシンプルで実用的なサンドボックス ソリューションである Sandboxie-Plus ソフトウェアについて特に詳しく説明します。
さらに読む:ハッカーがあなたのGoogleアカウントにログインしているかどうか確認する方法
ブラウザのサンドボックス
おそらく、すでにサンドボックスを使用しているでしょう。Chrome や Firefox などの現在のブラウザは、この保護テクノロジを使用しています。
これらは Windows のセキュリティ メカニズムに依存しています。これには、大量のリソースを使用せずに高度な保護を保証できるという利点があり、たとえば Web サイトの起動が遅くなる可能性があります。

ほとんどのブラウザと同様に、Chrome は各タブを独立したプロセスで開きます。これはタスクマネージャーで確認できます。すべてのウェブサイトは互いに遮断されています。
IDG
各ブラウザタブは独自のサンドボックスで開かれます。これにより、Chromeなどのブラウザがウェブサイト上のプログラムを自動的にダウンロードしたり、悪意のあるスクリプトを実行したりすることを防ぎます。
このプロセスは、ウイルス対策プログラムが警告を出さずに Web サイト経由で実行される攻撃 (ゼロデイ攻撃) からも保護します。
ブラウザの各タブは独立したプロセスとして実行され、他のタブやシステムにアクセスすることはできません。また、非常に制限された権限で起動するため、例えばウェブサイトがコンピューターのカメラにアクセスする際には、通常は許可が必要になります。
さらに、個々のタブを分離することで、Web サイトのクラッシュによってブラウザー全体が麻痺するのではなく、対応するタブのみが麻痺するようになります。
ブラウザ サンドボックスが機能するかどうか、またどのように機能するかは、Windows タスク マネージャーで確認できます。「プロセス」を見ると、「Google Chrome」エントリの下に多数の他のプロセスが実行されていることがわかります。これらは、個々のタブの個別のサンドボックスです。
さらに読む: USBフラッシュドライブをPCの安全なログインキーに変える方法
詳細は次のコマンドを入力することで確認できます。
chrome://sandbox/
ブラウザのアドレスバーに「レンダラー」というタブが表示されています。これはウェブページを表示する機能です。それぞれのタブは「サンドボックス」列にも表示され、その隣の列には「ロックダウン」という注記が付いています。
右側の「信頼されていない」エントリと同様に、これはこのプロセスがシステムへのアクセス権をほとんど持っていないことを意味します。

IDG
ただし、ハッカーは Web サイト上のスクリプトやプログラムにさらなるアクセス権を与えるために、他のセキュリティ上の脆弱性を利用してサンドボックスを悪用しようとすることが多いため、ブラウザは常に更新する必要があります。
サンドボックスを内蔵したプログラム
Windows は特定のプログラムに対してもサンドボックスを使用します。Microsoft ストアのアプリ (いわゆる UWP アプリ (ユニバーサル Windows プラットフォーム)) は、権限が制限された分離されたプロセスで実行されます。
つまり、これらのアプリは痕跡を残さずにアンインストールできます。多くの場合、ファイルやカメラ、マイクなどのハードウェアへのアクセスも許可する必要があります。
しかし、UWPアプリを使用するユーザーはごくわずかです。より頻繁にインストールされる標準プログラム、いわゆるデスクトップアプリは、サンドボックスや権限制限なしで動作します。
多くのUWPアプリには、インストール時に特定の権限が付与されます。これらの権限は、インストール前にMicrosoft Storeのアプリページの「このアプリは許可されます」の項目で、インストール後にはWindowsの設定の「プライバシー > アプリのアクセス許可」で確認できます。
そこでこれらの権利を取り消すことができますが、多くの場合、これによりアプリが正しく機能しなくなります。

Microsoft ストアのプログラムは隔離された環境で実行されます。ただし、インストール中に多数の権限を要求することが多く、この保護が損なわれます。
鋳造所
Windows 11はバージョン24H2以降、通常のプログラム向けのサンドボックス機能(Win32 App Isolation)もサポートしています。ただし、保護機能を動作させるには、メーカーがソフトウェアにこれを組み込む必要があります。
Acrobat Reader は、PDF ドキュメント用の安全なサンドボックス機能を提供します。電子メールや安全でないソースから添付ファイルとして PDF を受け取った場合、ドキュメントに含まれるコードが実行されたり、PDF 内のリンクをクリックしたときに悪質な Web サイトに移動されたりすることを防ぐことができます。
PDF サンドボックスを使用するには、リーダー メニューの「設定 > セキュリティ (詳細)」に移動し、「起動時に保護モードを有効にする」オプションを有効にします。
下部の「保護されたビュー」では、追加の保護が提供されます。ここでは、すべてのPDFに適用するか、安全でないソースからのPDFのみに適用するかを選択できます。リーダーはPDFを読み取り専用モードで開きます。つまり、入力できず、通常は保存や印刷もできません。
無料の特殊ツール Sandboxie-Plus
小型のオープンソースツール「Sandboxie-Plus」は、疑わしいファイルやプログラムを隔離して実行するのに最適です。Windowsに通常通りインストールすれば、サンドボックスコンテナ内で必要なコンテンツを直接起動できます。
Sandboxie-Plus の全機能の料金は年間 40 ドルです。PayPal 経由でプログラマーに直接支払うか、Web サイトでサポーター証明書を購入することもできます。
ただし、家庭用コンピュータで使用する場合は、以下に示す無料の基本機能で十分です。

Sandboxie-Plus を使用すると、プログラムを隔離された環境で起動できます。プログラムはシステムにアクセスできず、残留物を残さずに削除できます。
鋳造所
Sandboxie-Plus には、標準 Windows 用と Arm Windows 用のバージョンがあります。
このツールは、USBスティックにモバイルアプリとしてインストールすることもできます。インストール後、セットアップウィザードが表示されます。まず、無料機能を利用するために「個人用、非商用」オプションを選択してください。
次のウィンドウで、赤い下線付きのテキストをクリックすると、いわゆる評価証明書を取得できます。これにより、すべての機能を備えたソフトウェアを 10 日間テストできます。
それ以外の場合は、「次へ」をクリックします。ユーザーインターフェースでは、エキスパートモードとビギナーモード、およびディスプレイのライトモードとダークモードを選択できます。
デフォルト設定を受け入れ、もう一度「次へ」をクリックするのが最善です。最後のウィンドウで「完了」をクリックして、ソフトウェアのセットアップを完了します。
次の「グローバル設定」ウィンドウでは、何も調整する必要はなく、「OK」をクリックします。
Sandboxie-Plusで危険なプログラムを実行する
Sandboxie-Plusは2つの部分からなるインターフェースで起動します。上部には「DefaultBox」のエントリがあり、このボックスから疑わしいプログラムを起動できます。下部のウィンドウでは、ツールがすべてのアクションと設定を記録します。
システム トレイのツール アイコンを右クリックし、「表示/非表示」を選択しても、ユーザー インターフェイスを呼び出すことができます。
サンドボックス内でソフトウェアを安全に起動するには、「サンドボックス > サンドボックスで実行」をクリックします。次のウィンドウで設定を確認し、「OK」をクリックします。
次に別のウィンドウが表示されます。Sandboxie-Plusで起動したいソフトウェアの名前を入力し、「OK」で確定します。正確な名前がわからない場合、またはツールが入力に一致するプログラムを見つけられない場合は、「検索」を使用してエクスプローラーで直接ソフトウェアを呼び出すことができます。
この起動手順は、Web ブラウザーなど、インストールしたプログラムを安全な環境で再度起動する場合に推奨されます。サンドボックスで再度呼び出すと、リスクなく疑わしい Web サイトにアクセスできます。
プログラムが起動し、対応する EXE ファイルが Sandboxie-Plus の上部ウィンドウに表示されます。
ソフトウェアがサンドボックス内で実行されていることは、次の 2 つの特徴でわかります。プログラム ウィンドウ内の名前がダイヤモンドの記号で始まり、ダイヤモンドの記号で終わることです。たとえば、サンドボックスで Chrome ブラウザを開き、タスクバーのアイコンにマウスをドラッグすると、[#] 新しいタブ - Google Chrome [#] と表示されます。
マウスをプログラムウィンドウの上端に移動すると、黄色の枠が表示されます。Sandboxie-Plusには、「サンドボックス - ウィンドウはサンドボックス内ですか?」というウィンドウファインダーもあります。
そこで、左側の小さなプログラム ウィンドウ内の円をクリックし、マウスの左ボタンを押したまま、ステータスを確認するプログラムのウィンドウでボタンを放します。すると、質問に対する回答がウィンドウ ファインダーに表示されます。
Sandboxie-Plus は Windows エクスプローラーのコンテキスト メニューにも入力されます。右クリックして「サンドボックスの開始」コマンドを実行すると、目的のプログラムを呼び出すことができます。
たとえば、ダウンロードしたソフトウェアは、対応する EXE またはインストール ファイルを Sandboxie-Plus で起動することで、サンドボックスにインストールできます。
各プログラムと各ファイルを独自のサンドボックスで実行することをお勧めします。Sandboxie-Plus またはコンテキスト メニューから起動する場合は、次のウィンドウで「新しいサンドボックスで実行」エントリを選択し、「標準サンドボックス」を選択します。
ここで各サンドボックスに意味のある名前を付けることもできます。
Sandboxie-Plus では、ブラウザ、電子メール プログラム、Windows エクスプローラーなどの重要なプログラムを特にすばやく起動できます。ツール ウィンドウの右上隅にある既存のサンドボックスをクリックします。
次に、「スタート > 標準プログラム」を選択し、目的のソフトウェアを選択します。
疑わしいファイルを開いて確認する
プログラムと同様に、個々のファイルも隔離されたサンドボックスで開くことができます。Sandboxie-Plus は、そのファイルのデフォルトプログラムを起動します(例えば、DOCX ファイルの場合は Word)。
プログラムがクラッシュする場合は、Sandboxie-Plusの設定を変更してください。説明に従って、新しいサンドボックスでファイルを開きます。サンドボックスの種類として「標準サンドボックス」を選択したウィンドウで、右下にある「詳細オプションを設定」オプションにチェックを入れます。
「次へ」をクリックした後、「仮想化スキーム」で「バージョン 1」を選択し、「次へ」を数回クリックして、「完了」で終了します。

Sandboxie-Plus を使用すると、プログラム ウィンドウの周囲の黄色のフレームと、上部のプログラム名の前後のハッシュタグによって、ソフトウェアがサンドボックス内で実際に動作するかどうかがわかります。
IDG
重要:サンドボックス内で起動したプログラムは、サンドボックス外のファイルの読み取りのみが可能で、変更はできません。サンドボックス内のソフトウェア内でファイルを開くと、変更は可能ですが、元のファイルには影響しません。
たとえば、サンドボックスで Outlook を起動し、そこで電子メールを削除した場合、通常どおり Outlook を開いたときにその電子メールはそのまま残ります。
疑わしい添付ファイルが付いたメールは、次の方法で確認できます。サンドボックス内でメールプログラムを開き、添付ファイルを開きます。疑わしいと思われる場合、または予期しない送信者から送信された場合は、サンドボックスを削除し、通常のメールプログラムでメールを開いたり添付ファイルを確認したりせずに削除します。
Sandboxie-Plus は、プログラムとファイル用に個別のディレクトリを作成して分離します。これらのディレクトリはプログラム ディレクトリ「C:\Sandbox\username」にあり、サンドボックスごとに個別のフォルダーがあります。
このツールは、隔離されたプログラムによって行われた変更をレジストリに保存します。これにより、対応するサンドボックスを削除しても、システムに痕跡が残りません。
Sandboxie-Plusの上部ウィンドウで対象のサンドボックスを右クリックし、コンテキストメニューから「サンドボックスを削除」を選択することで削除できます。サンドボックスはそのままにして、サンドボックス内で実行中のプログラムを終了したい場合は、コンテキストメニューから「すべてのプロセスを閉じる」を選択してください。
代替案: 仮想PC
仮想PC(VPC)は、危険なプログラムを起動したり、疑わしいファイルを開いたりするのにも適しています。Windowsには、この目的のためにWindows Sandboxが含まれています。これはMicrosoftのHyper-V仮想化ソフトウェアをベースにしたVPCですが、Windows Proにのみ含まれています。
最初にインストールする必要があります。コントロールパネルの「Windowsの機能の有効化または無効化」からインストールしてください。そこで「Windows Sandbox」を選択し、コンピューターを再起動してください。
インストール済みアプリの選択肢に「Windows Sandbox」というプログラムが表示されます。起動すると、仮想PCのユーザーインターフェースとして別のWindowsデスクトップが開きます。通常のシステムと同じように操作できるので、Windows Sandboxにプログラムをインストールして試すことができます。
メイン システムから仮想 Windows に疑わしいファイルをコピーして貼り付けることができます。
Windows 11 アップデート 22H2 以降、VPC はデータとアプリケーションを保持したまま再起動できるようになりました。ただし、これはサンドボックスのみを再起動する場合に限ります。VPC ウィンドウを閉じたり、メインシステムを再起動すると、サンドボックスの内容は削除されます。
Windows Homeをご利用の場合は、Virtualboxなどの無料の仮想化プログラムをVPCで使用できます。ただし、仮想コンピューターにはオペレーティングシステムが必要です。Windowsを使用する場合は、追加のライセンスが必要になります。
VPC はメインシステムからほぼ分離されており、安全なテスト環境です。
ただし、Sandboxie-Plus と比較すると、たまに未知のプログラムを試したり、疑わしい電子メールの添付ファイルを開いたりするだけであれば、サイズが大きすぎます。VPC に独自のオペレーティング システムをインストールする必要があり、それに応じてコンピューターのハードウェアに高い負荷がかかります。
これは、CPU のパフォーマンスにも当てはまりますが、何よりも RAM に当てはまります。仮想システム専用に少なくとも 4 GB の RAM を用意する必要があります。RAM を増やすと、VPC の使いやすさが大幅に向上します。
また、これは簡単なファイルチェックにも適していません。通常のシステムのように VPC を起動し、仮想 Windows が使用可能になるまで待つ必要があります。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。