「ウイルス対策ソフトは万能」という神話を改めよう：会社に潜む情報セキュリティの落とし穴（2/3 ページ）

[萩原栄幸，ITmedia]

悪意のあるプログラムとは？

　悪意のあるプログラムには、ウイルス、マルウェア、スパイウェア、ボット、ワーム、ペスト、ルートキットと、実にさまざまな呼び方や定義が存在します。IPAなどの公的機関での定義や、民間会社の定義、諸外国での定義などが多数存在し、何がどのようになっているのかを大学で専門に研究している人ですら明確に定義するのが難しいほどです。不正プログラムの形態は年々、そして時々刻々と変化しているためです。

　しかし、最低限の区別は可能です。ウイルスとは自分で増殖し、その本質が「悪」の意思で作られているのが大部分です。PC利用者は完全に排除すべきものでしょう。例外もありますが、スパイウェアやマルウェアはウイルスとは違うものです。これらは原則として自ら増殖することは稀であり、その存在はその利用者によって「善」か「悪」か別れるものです。

　例えば「スニファー」というネットワーク管理者が当たり前に使用しているプログラムは、通常は「善」として働きます。しかし、それを悪用してメールの内容を見た場合、その時点でそのプログラムは「悪」となるのです。このため、これらのプログラムを盲目的に「悪」と決めつけることはできません。

　さらに、「統合版ソフト」の出現によって不正プログラムの対策は混とんとしました。ウイルス対策ソフトメーカーが次々とスパイウェア対策のソフト会社を吸収、買収して自らの「統合ソフト」に組み込んでいったということが背景にあります。以前はウイルス対策とスパイウェア対策では、明らかにソフトメーカーが得意とするものが異なっており、適材適所でそのソフトを組み合わせて利用していたものでした。

　自分の環境に合致したソフトを選択することは、Windows系ソフトの品質管理を担当している管理者からすると極めて大変でした。しかし、現在では良い悪いは別にしてほとんどの大手ウイルス対策ソフトメーカーは、「スパイウェアも検出・駆除できる」としており、初心者には区別が難しく、混とんとした状況を示すようになりました。

ウイルス対策ソフトは万能か？

　現状では、利用者が意図しない不正な処理を行うプログラムがどのくらいあるのでしょうか。視点や切り口によって数はかなり変化しますが、一般的に100万種類をはるかに超える数の不正プログラムがあると思って差し支えありません。インターネットで検索すれば、対策ソフト別の評価が掲載されたサイトも多数見つかります。しかし、ここで注意していただきたいのは次の点です。

1. 1年以上経過した評価は古い。対策ソフトはそれぞれのメーカーが社運をかけて常にベストの状態を保とうと必死に開発競争を行い、エンジン部分も最優先で高性能エンジンと交換されている。つまり、1年前の評価がトップクラスであっても最下位クラスであっても参考程度にしかならない
2. 世界各国で半官半民の団体、NPO組織、官公庁の組織、民間の評価機関など視点が違った解説をしている。何が自分にとって大切な指標なのか、会社によって何が最重要なものかを見極める必要がある
3. PCの環境によって「相性」（あまり使いたくない言葉であるが）がどういうわけか現れる。評価が一番いいからといって、自分のPCや自社のシステムでもそうとは限らない。必ず試してみてから大量導入しないと、基幹システムと相性が悪い事態では最悪の結果になる。十分にテストすること
4. 年々「ベストチョイス」は変化していく。前年がいいからといって努力を怠るとそのつけは、いつかやってくると思って差し支えない。絶え間ない努力が重要となる

　ウイルス対策ソフトを評価する指標には、「検出率」というものがあります。わたし自身で毎年数種類の対策ソフトを試しており、今回は「Hacker Japan」2009年1月号（白夜書房）に掲載された「アンチウイルスソフト徹底比較2009」も参考に検出率という基準について考えてみましょう。

　ここで注意すべき点は、検出できたウイルス数が多いからといって、その対策ソフトが優秀とは限らないということです。現状では「危険なウイルス」を確実に除外できることが、対策ソフトに求められるほぼすべてであり、過去に発見された被害実態の少ないウイルスを検出できても自慢にはなりません（それでも数が多いと有利に働くことは間違いない）。

　検出率のランキングをみると、9位くらいまでは「どんぐりの背比べ」なのですが、それ以降の検出率は問題であると言えます。10位以下の製品は購入を控えた方が望ましいかもしれません。

　このほかにも、例えば欧州のある評価機関では「重たさ」をみるために、同じ処理能力で1分間に巨大な画像ファイルを何回開くことができたかや、最新のウイルスに注目してその検出率を競ったものなど、それぞれの評価機関が工夫してユニークなテーマでウイルス対策ソフトの性能を調べています。

　また、国内では次のような着眼点も重要です。

1. いわゆる「ゼロディ攻撃」の確率を減少させるために世間が新型ウイルスであることを認知してから、その対策ソフトがパターンファイルなどで実際に対応できるまでの時間を計測したもの。意外に時間差が大きくなっているのが特徴で、一般的に欧米やロシア系メーカーが強いとされている。例外もあるが、この指標を重要視するのはビジネスユーザー向け製品が多い
2. いわゆる「Winny」などの暴露ウイルスに強いもの。個人向けの場合には、特定のユーザーにとっては何よりも優先度が高い。ここは差異が大きく、欧米型の一部メーカーはWinnyの暴露ウイルスをウイルスと認知すらしていないもあると言われる。