未知の脅威に備えるウイルス対策の選び方：エンドポイントセキュリティ・再考のススメ（1/2 ページ）

既に十分な対策だとされる企業のウイルス対策。しかし、免疫のない新型インフルエンザのようなコンピュータウイルスが、急速にまん延する危険がなくなったわけではない。このような状況のもと、これまでの常識とは異なる視点でウイルス対策ソフトを選択する企業が増えているという。ウイルス対策ソフトの新たな選択軸について考える。

[今野靖雅，ITmedia]

未知のウイルスを検知するヒューリスティック技術とは

　重大な事故が起こらないまま月日が過ぎてしまうと、過信からウイルス対策ソフトなどの見直しをやり過ごしてしまうケースも少なくない。確かにこれまではウイルス定義ファイルを頻繁に更新してくれるメーカーの製品を導入しておけば問題はなかったかもしれない。しかし、世界で1日10万種以上の新種／亜種のウイルスが発生する中で、既存のウイルス定義ファイルだけに頼る方法では、その脅威から企業のエンドポイントを守ることが難しくなってきている。

　既存のウイルス定義ファイルでは対応できない未知のウイルスを発見する技術として注目されてきたのがヒューリスティック技術だ（メーカーによって名称が異なる場合がある）。「ヒューリスティック」とは、蓄積された過去の事例を分析して、将来起こるであろうことを予測し、高い精度で正解に近い結果を得る方法」という意味だ。簡単に説明すると、“ウイルスらしき動作”をする挙動不審なソフトウェアなどを検知することで、未知のウイルスに対応する技術だ。

　多くの読者にとっても、こうしたヒューリスティック技術自体はなじみのあるものだろう。そのため、「どの製品でも同じ技術だ」と思い込んでいる人も多いのではないだろうか。しかし、ヒューリスティック技術が実装されているといっても、ウイルス定義ファイルの更新に対してあくまで補助的にのみ使っているものから、ヒューリスティック技術を重視した製品まで、実にさまざまな製品が存在する。

　そのため、もう一度ここでヒューリスティック技術とは何かをおさらいしておきたい。1993年とセキュリティ業界では非常に早い段階からウイルス対策ソフトにヒューリスティック技術を搭載したESET製品の機能を例に見ていこう。ちなみにESETはヒューリスティック技術を最大限に重視した製品群に分類できる。

　ESETのヒューリスティック技術のエンジンには、静的解析と動的解析という大きく2種類の方法が用いられている。

静的解析（コード解析）

　プログラムのコードを分析して、そのプログラムが行う動作を抽出。「命令フロー」「レジスタ内およびスタック上の値」「API 関数や割り込みの呼び出し」など、複数の動作を解析して、プログラムの動作がコンピュータウイルスの動作と似ているかどうかを比較する。

動的解析（サンドボックス）

　システム全体(HDD、ネットワークなど)をシミュレートする仮想環境（サンドボックス）内で、プログラムを実行し、仮想コンピュータのさまざまな重要部分（実行可能ファイル、コンフィグレーションファイル、メモリの内容など）が変更されるかどうか、どのような変更をしているのかを評価する。

　これらの解析の結果、プログラムの動作がウイルスと思われる動作と評価された場合にはウイルスと判定されるという。また、ESET製品の特徴としては、ヒューリスティック技術を搭載したエンジン自体のバージョンアップを実施しなくても、ウイルス定義ファイルのデータベースとともに自動的に最新となり、いち早く新種や亜種のウイルスに対応できることも挙げられる。

ヒューリスティック技術の鍵はプロアクティブでの検出率の高さ

　こうしたヒューリスティック技術でのウイルス検知に対して、その価値を評価するための重要なポイントはプロアクティブでの検出率の高さである。

　未知のウイルスの検知に大きな効果を発揮するヒューリスティック技術は、当然そのプロアクティブでの検出率の高さが大きな鍵を握る。ただし、この検出率の高さはヒューリスティック技術を搭載している製品なら全て同じかというとそうではない。検出率の高い製品、低い製品にはバラつきがある。

　製品選択の際に、検出率の高い製品を選びたいというのがユーザーの気持ちだ 。この点をきちんと把握するためには、ウイルス検知に関して権威のある国際的な第三者評価機関のデータを参照するのが有効だろう。そうした評価機関は多くが、リアクティブ、プロアクティブの両面での検出率から製品の性能をテストしている。

　しかも評価の高い製品は、多くの第三者機関のテストの評価も安定している。そのため受賞の多さなどは、製品選択の大きなポイントとなるだろう。

未知ウイルスの検知率と誤検知率（出典：AV-Comparatives 2008-2009）