ウイルス対策ソフトの評価は「検出率」だけで十分か？：専門家らが議論（2/2 ページ）

[國谷武史，ITmedia]

検出率が抱える問題

　トレンドマイクロのように、従来の検出テストは実施機関が独自に集めたサンプルを利用して、ローカル上で定義ファイルに照らしながら調べるのが一般的だった。しかし、サンプルに使われる不正プログラムの数や種類、採取方法は実施機関によってことなるため、、各テストの検出率を単純に比較することはできない。

パネラーの新井氏、鵜飼氏、小野寺氏（左から）

　検出率テストの課題について、新井氏は「各社が工夫しており、企業などが判断材料にしている。しかし、数％程度は検出できないため、残存リスクを減らすためのほかの検出手法を併用することも検討材料にすべき」と述べた。鵜飼氏は、「最新の脅威を反映させるべきで、多数のWebサイトをチェックし、ダウンロードされる不審なファイルを徹底的に調べるべきだろう。しかし手間もかかるため、業界標準の自動化手法などを検討したい」と話した。小野寺氏は、「新種の不正プログラムが登場してもすぐに沈静化するなど変化が激しく、従来の方法に疑問を持つべき」と語った。

　従来方法の評価を活用する点では、「検出率という尺度は古く、事後対応の重要性が意識されつつある現状では新しい評価基準を設けるべき」（新井氏）や、「ベンダーが単独で決めるものではなく、もっと議論が必要」（鵜飼氏）、「感染自体よりも、感染によって引き起こされる情報漏えいなどの被害に注目すべき」（小野寺氏）と、3氏はそれぞれ見解を述べた。

　平原氏は、「新たな評価手法にはユーザー視点が不可欠ではないか」と話し、具体的にどのようなポイントがユーザーに役立つかについて課題を提起した。

　小野寺は、「ユーザーの利用シーンで脅威の内容が異なるので、これを考慮した方法が求められる」と述べた。鵜飼氏は、「まず最新の脅威を反映し、そのほかの検出方法による効果を容易に調べられるといい。感染から被害が発生するまでのプロセスにも目を向けるべきだろう」という。新井氏は感染による影響への対応が重要と指摘し、「一連のプロセスをトレースできる仕組みが必要」と述べた。

　3氏とも、従来の検出率によるウイルス対策ソフトの評価だけでは不十分との考えであり、感染による影響をいかに小さくするかという事後対策の重要性を挙げる。新しい評価基準には事後対策の有効性が客観的に分かる仕組みが求められるという。具体的にはどのような方法があるのだろうか。

　小野寺氏は非常に難しいとした上で、「感染を見逃しても再チェックで検出でき、それを評価できる方法が望ましい。ユーザーのビジネスを保護するセキュリティ対策をもっと考えたい」とコメント。鵜飼氏は、「最近はWeb閲覧から異なるマルウェアが次々にダウンロードされる“シーケンシャル型攻撃”が主流で、こうした攻撃に対処できることが優先される。一連の動きをトレースしてセキュリティ対策の効果を分かるといいのではないか」と話した。

「感染」と「被害」のどちらに注目すべきか

　平原氏は、「不正プログラム単体では攻撃者の目的が分からず、最後になってようやく分かるケースが多い。検出ばかりではなく、駆除できるかどうかも見るべき」と述べ、ウイルス対策ソフトの性能を包括的に評価する重要性を指摘した。

　これに対し、鵜飼氏は「感染しても悪意がなければ被害にはならない。悪意のあるものを正しく駆除する仕組みが大切」と語った。新井氏は、「感染後の2次被害をいかに防ぐかが重要。感染しても情報漏えいをどれだけ防いだかといった結果を評価基準にしてもいいのではないか」と話した。

　新たな評価基準を作る方法について、3氏は「ベンダーだけではなく、事後対策におけるニーズをユーザーから聞くべき」（新井氏）や、「海外も含めてベンダー中立の機関や基準を作る」（鵜飼氏）、「OSやシステムを含めて多層的に防御する方法を評価できる体制が望ましい」（小野寺氏）と、ユーザー視点の反映が不可欠との認識を示した。

　それでは、現状でユーザーがウイルス対策を選ぶ際のポイントとは何か。小野寺氏は、「売り切りの商品か、サポートのあるソリューションサービスか、ユーザー自身が求めるものを総合的に精査して判断すべき」と話す。また、新井氏は「使い慣れた対策を継続し、事後対応にも注力すべき」と述べる。

　両氏は、自社のビジネスに与えるリスクを十分に考慮し、従来から培ってきたセキュリティ対の策ノウハウを継続的に高めていくことが大切だとアドバイスしている。

過去のセキュリティニュース一覧はこちら