ウイルス対策ソフトの評価は「検出率」だけで十分か？：専門家らが議論（1/2 ページ）

ウイルス対策ソフトを選ぶ基準の1つに検出率があるが、現在の対策機能を十分に反映していないという。ユーザーにとって参考になる基準とは何か。専門家らが議論を交わした。

[國谷武史，ITmedia]

　コンピュータユーザーがウイルス対策ソフトを導入する際、さまざまな製品を比較検討する基準として、「検出率」を参考にしている。検出率は、サンプルのウイルスを対策ソフトがどれくらい検出できるかを示したもので、AV-Tset.orgのような第三者機関が評価試験の結果を公開している。検出率が高いほど、優れたウイルス対策ソフトと考えるユーザーは多いようだ。

　このほど開催されたトレンドマイクロのユーザーカンファレンスでは、検出率がウイルス対策ソフトの性能評価の基準にふさわしいかどうか、セキュリティの専門家らがパネルディスカッションで議論を交わした。現在のウイルス対策ソフトが持つ多彩な機能について、検出率だけでは正しく評価するのが難しいという業界に広まる指摘を受けたものである。

　パネラーとして、ラックサイバーリスク総合研究所先端技術開発部の新井悠部長、フォティーンフォティ技術研究所の鵜飼裕司社長、マイクロソフトセキュリティレスポンスチームの小野寺匠マネジャーが参加。モデレーターはトレンドマイクロ スレッドモニタリングセンターの平原伸昭マネジャーが務めた。

ウイルス検出機能と検出率

平原氏

　パネルディスカッションの冒頭、平原氏は現在のウイルス対策ソフトに搭載されている主要な検出機能と、トレンドマイクロが社内で実施している検出率の測定方法を紹介した。

　検出機能には、ウイルス対策ベンダーなどが提供する定義ファイルで検出する従来からのものに加え、不正プログラム特有の動きから未知のものを検出する「ヒューリスティック検出」、不正プログラムがシステムの変更するのを検知する「不正変更検出」などがある。

　定義ファイルは不正プログラムを解析して開発されるため、最も信頼性が高いものの、開発に時間が掛かるのが欠点とされる。近年は新規の不正プログラムが短時間に多数出現するため、定義ファイルだけでは最新の脅威に対処するのが難しくなり、ヒューリスティック検出や不正変更検出が併用されるようになった。また、不審なファイルやプログラム、Webサイトに関するベンダーのデータベースにオンラインで照会して、検出する試みも行われている。

　トレンドマイクロの検出率評価は、まず過去1週間におとりPCで収集した不正プログラムから1000個をサンプルとして抽出し、1週間前に作成した定義ファイルで検出テストを行う。次に、このテストで検出できなかったサンプルをヒューリスティック検出および不正変更検出を用いて検出する。最後に、これらの手法でも検出できなかったものをオンラインデータベースに照会して、検出できるかを調べる。

　最近の評価試験では、定義ファイルによる検出率が96.5％、ヒューリスティック検出を併用した場合が98.0％、定義ファイルとヒューリスティック検出、不正変更検出を併用した場合が98.9％だった。これら3つの手法で検出できなかったサンプルは11個で、このうち7個には33の不審なサイトへ接続する仕組みがあった。オンラインデータベースに照会したところ、32サイトは悪質サイトとして登録されており、検知できないのは1つだけだった。

　「この数字は製品の性能を宣伝する目的ではなく、あくまで客観的に自社製品の性能を知るために実施したもので、通常は公開していない」と説明した。