「マルチベンダー＋バッチファイル」でウイルス対策の効率化を：AVAR 2004

ウイルスを確実に検出したいならば、1種類だけでなく複数のウイルス対策製品を組み合わせるほうがいい。バッチファイルを活用すれば、運用作業も楽になる。

[ITmedia]

　11月26日、AVAR 2004コンファレンス2日目のセッションにおいて、Microsoftのオペレーションマネージャ、ランディ・エイブラムス氏とドイツ・AV-TestのCEO、アンドレアス・マルクス氏が、複数のウイルス対策製品の併用と、それを有効に活用するためのスクリプティング技法について説明した。

　「複数のウイルススキャンシステムを使えば使うほど、ウイルス検出の確率を高めることができる」（エイブラムス氏）。

　当たり前だが、ベンダーによってウイルス定義ファイルの更新間隔やタイミングは異なっている。AV-Testが今年1月から8月にかけての更新状況を調査したところ、月ごとの更新間隔には20倍近くの差があった。また、あるウイルスが出現してから定義ファイルが提供されるまでの時間も、平均すれば10時間だが、これよりずっと短い時間でリリースしたところがある一方で、14〜16時間を要したベンダーもあったという。

　したがって、新たなウイルスが出現したとして、ある製品では検出できなくても別の製品では検出可能だったり、その逆のケースが生じる可能性は十分にある。また当たり前だが、ウイルス検出アルゴリズムは製品ごとに異なっていることから、ベンダーそれぞれに検出が得意なマリシャスコードと不得意なものとがある。

　こういった状況を踏まえると、複数の製品を導入すれば、単一ベンダーの製品を利用している場合よりもより優れた防御が得られるというエイブラムス氏の指摘は、十分納得できるものだ。ただ、今度は「運用」「管理」という別の問題が発生する。

　たびたび指摘されているとおり、ウイルス対策のポイントは、常に最新の定義ファイルに更新し、その状態を維持し続けることだ。しかしながら複数の製品について、手作業でそういった状態を実現し続けるのは難しい。無論ほとんどの製品では、「自動更新機能」「アップデート機能」を実装しているが、システム構成や回線の状態、タイミングによっては更新が失敗することもある。

　そこで両氏が提案するのは、wgetなどのツールとバッチファイルを用いて、複数のウイルス対策製品の更新作業を自動化するというアプローチだ。「ひとたび使い勝手のよいスクリプトを作成できれば、一連の作業の自動化が可能になる」（マルクス氏）。

　また、いくらベンダー側でテストを行ったうえで公開されたとしても、最新の定義ファイルのうち一定数は、きちんと動作しないことがある。AV-Test.orgの調査によれば、3万7000種類のアップデートファイルのうち約7000種類は機能しなかったということだ。

　そこで、単に更新を行うだけでなく、その定義ファイルが正当なものであり、適切に動作するかどうかをテストする必要もある。「品質保証の観点からも、このステップは重要だ」（マルクス氏）。ファイルサイズやバージョン情報のチェック、テスト用ウイルスファイルのeicarや、時には「生」のウイルスを用いたテスト（この際には細心の注意が必要だ）も含め、多層的なチェックを行い、そのうえで導入すべしという。

　こうした手法を用いるには、対象ウイルス対策製品がコマンドラインから起動し、操作できる必要がある。今回紹介された手法は、両氏がMcAfeeやKaspersky、Sophosやその他の製品の運用を通じて得られたベストプラクティスを元にしたものだが、詳細は「各ベンダーに確認してみてほしい」という。