ウイルス対策とは異なる6つの視点――スパイウェア対策ソフト選びの勘所：狙われる企業、スパイウェア対策事情

「リアルタイム検知より定期的なスキャン」「インストールされたスパイウェアの駆除能力の高さ」など、スパイウェア対策は、ウイルス対策とは異なる観点で製品を選択する必要がある。

[野々下幸治，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「狙われる企業、スパイウェア対策事情」でご覧になれます。

　ウイルスやワームは、アウトブレーク時の対策が重要だ。しかし、スパイウェアはそのような目に見える現象が顕著に現れず、企業内に密かに入り込むという性格を持つ。スパイウェア対策を行う上では、これまでのウイルス対策とは違った考え方が必要になってくる。

　前回は、ウイルス対策ソフトとスパイウェア対策ソフトの主な違いを説明したが、今回はそれを踏まえ、スパイウェア対策ソフトを選択するときに重要となるポイントをみていこう。リアルタイム検知より定期的なスキャン重視や、インストールされたスパイウェアの駆除重視など、異なる観点からの評価が大切になる。

スパイウェア対策ソフトの選択のポイント

1．検知能力だけなく、削除能力の高さも評価

　スパイウェア対策ソフトを選択するに当たり、多くの場合は、検知数にばかり評価の目が行きがちだ。しかし、検知はしても削除が不十分だと、IT部門の削除対応は大変なことになる。クライアント側の容易な削除能力はTCOの点から重要である。まずは、この点に注意して選択するようにしたい。

　セキュリティ製品の認定テストで代表的なWest Coast Labsの「CheckMark」は、インストールされたスパイウェアの削除能力を評価している。その認定取得も目安にするといいだろう。

2．高速なスキャン能力とクライアントPCへの負荷の軽減

　スパイウェアは、その時点の定義ファイルで常にリアルタイム検知できるとは限らない。そもそもリアルタイム検知に頼ろうとするのは良いこととはいいにくい。定期的なクライアントのスキャンが非常に重要になってくる。スキャンに掛かる時間やクライアントの作業に負荷を掛けない点は、評価の重要なポイントとなる。

　一般的にはクライアントPCに負荷を掛けないと、スキャンに掛かる時間は長くなるものだ。その場合は、スキャンを行う時間を柔軟に変更できるものが望ましい。

3．組織内で発見されたスパイウェアのリスクの管理を行える

　リスクの高いスパイウェアの感染を見逃しては、リスク管理の意味をなさない。発見したスパイウェアをレポート出力して、管理できる機能が必要だ。なお、注意したいのは、ウイルス対策ソフトでは前回述べたように、適切なリスクレベルで表示されない場合がある。

4．アンチウイルスと異なるベンダーのエンジンを使用

　マルウェア対策の強化を考えるのであれば、ウイルス対策ベンダーとは異なるベンダーのスパイウェア検出エンジンを推奨したい。亜種が多発する現在のスパイウェアの状況では、1社のエンジンのみに頼るというのは、あまり有効な判断とはいえない。

5．rootkitなど検知・削除が難しいスパイウェアへの対応

　最近のスパイウェアは、検知を逃れるためにOSの下に存在を隠すrootkit技術が利用され始めている。この技術が使われると、通常のアプリケーションレベルでの検査は有効に働かない。このようなrootkitを使ったスパイウェアに対する検知・削除が、より重要な機能になってきている。

6．プロアクティブな防御機能の提供

　スパイウェアは非常に多くの亜種が開発され、対策ベンダーの網にもかかりにくくなっている。侵入の防御をシグネチャだけに頼ることはますます難しくなっていく。その点で、どれだけシグネチャに頼らない防御を提供しているか、プロアクティブな防御レベルも重要な評価項目となるだろう。

野々下幸治

ウェブルート・ソフトウェア テクニカルサポートディレクター。1990年代半ばよりDECでファイアウォールに深くかかわる。2001年Axentに入社、2001年Symantecに買収され、システムエンジニアリング本部長を務める。2006年ウェブルート・ソフトウェアに入社し、現職。