前回は従来からある「検出率」の評価方法はユーザー環境、脅威、製品というさまざまな観点で見ても現実的ではないことから、新しいテスト手法が必要であることを説明した。今回は第三者テスト機関「NSS Labs」が2009年7月から8月にかけて行なった、より現実的なテストを解説する。
製品の総合的なパフォーマンス評価
これまでの検出率を評価するテストでは、単純にウイルス検索機能の評価、あるいはパターンファイルの精度のみ、つまり製品の一部分、一機能だけを評価していた。しかし「防御力」を評価するテストでは、ファイアウォール、IDS/IPS、レピュテーション、ウイルス検索、挙動監視など製品が提供するさまざまな機能を使って実際の脅威に対する対応力を評価する。このため、結果的にユーザーが使う現実に即した形で、製品の総合的な評価が可能となる。
それと同時に、どの機能を使うことによって脅威を見つけることができたかを、細かく見ることも可能になる。たとえば、パターンファイルではまだ対応してない脅威に関して見てみよう。その出所である不正なWebサイトを認知していたために不正プログラムをダウンロードする前にWebレピュテーションを使ったり、その不正プログラムがある特定のアプリケーションに存在する脆弱性を攻撃する場合にはIDS/IPSを使って未然にブロックできる。
図1 不正プログラムをどの段階でブロックするか(ガンブラーの例)
また、同様にパターンファイルで見つからなかった不正プログラムに関しても、挙動監視を使うことによってシステム上でのその不正プログラムの挙動を見ることによってブロックすることも可能である。ユーザーが恐らくもっとも関心のある、製品としてどれだけの脅威をブロックできるかどうかを究極的には見るのではあるが、このようにレイヤ、機能別に見ることも可能で、いかにして製品のセキュリティ機能が補い合っているかを見ることができる。
「ダウンロード段階での初期防御」と「実行段階での防御」
NSS Labsでは、大きく分けて2つの軸で評価を行なっている(表1)。
表1 Webから来る脅威に対するウイルス対策ソフトの防御力比較結果(出典:NSS Labs製品評価レポート 2009年9月)
まず1つ目が「ダウンロード段階での初期防御」だ。これは、従来の不正プログラムをクライアントにダウンロードしてから不正か否かを判断する方法ではない。接続先のWebサイトの評価情報(Webサーバの登録年月日、不正プログラムの感染源となっていないか、スパムメール配信に使用されていないかなどの情報)を元に、一定の閾値を超えた評価の場合、不正なWebサイトとしてアクセスをさせない「Webレピュテーション」が代表的な手法だ。
また、IDSやIPSなどで不正な通信をブロックした際に、どの程度不正プログラムをブロックできたかも評価基準となる。
2つ目が「実行段階での防御」だ。これは、不正プログラムがコンピュータにダウンロード(不正プログラムに感染はしていない)された状態で不正かどうかをチェックするものだ。具体的な手法としては従来からあるパターンマッチングやジェネリック、ヒューリスティックなどを用いた方法になる。
いままでのテスト手法の場合、2段階目のテストのみを行なっていた。しかし、Web経由で感染する不正プログラムが約9割という現状には適していないといえる。ベンダーが提供するセキュリティ機能はさまざまなタイプが存在するが、今回NSS Labsが行なったような手法を用いることで、ベンダーが提供する製品全体としてどれだけの対策ができるのかを公平に評価できるわけだ。
(次ページ、「リアルタイムでの評価」に続く)
この連載の記事
-
第28回
TECH
いつの間にか、あなたもネット犯罪者? -
第27回
TECH
ゲームのアイテムを日本円に替えるRMTにまつわる危険とは? -
第26回
TECH
身代金要求からワンクリック詐欺、犯罪ツールには要注意 -
第25回
TECH
われわれの身近に存在するアンダーグラウンドマーケット -
第24回
TECH
オフライン端末への脅威は、こうすれば防げる! -
第23回
TECH
オフライン端末へのウイルス対策5ケースとつきまとう欠点 -
第22回
TECH
ダウンアドが院内感染!オフライン端末の被害事例とは? -
第21回
TECH
市販のUSBメモリにウイルスが混入する理由とは? -
第20回
TECH
仮想アプライアンスのここがメリット! -
第19回
TECH
セキュリティには仮想アプライアンスという選択肢を -
第18回
TECH
ウイルスバスター2011 クラウドに搭載された3つの新機能 - この連載の一覧へ