セキュリティソフトのスペックを読み解く：ミニPCに最適なセキュリティソフトを選ぶ 第1回（2/2 ページ）

[瓜生聖，ITmedia]

セキュリティ対策の基本用語

　一方、セキュリティリスク同様、その対策に対しても独自の用語が用いられる。たとえ同じ機能であったとしても差別化のためにベンダーによって名称が変わることも多い。そのため、名称だけでどのような防御機能を持つのか理解することは難しく、その機能が何をしているのかの説明から判断するしかない。だがその説明自体にも難解な用語が多い。以下にセキュリティソフトでよく使用される、分かりにくい用語をまとめた。

ベイジアンフィルタ

　迷惑メールに頻出する単語にポイントを加算し、通常メールに頻出する単語にマイナスの点数をつけ、その合算結果が一定以上に達すると迷惑メールと判断する、迷惑メール対策手法の1つ。受信したメールを迷惑メールと通常メールに振り分けることでユーザー自身が単語の点数を調整することができるようにしている場合もあり、この処理を「学習」と呼ぶ。

　ウイルス検出などと比べて検出精度は低く、迷惑メールを送ってこない差出人（アドレス帳に登録されている知人など）を登録したホワイトリスト、頻繁に送ってくる差出人を登録したブラックリストを併用し、誤検出をカバーすることが多い。

パターンファイル

　セキュリティソフトでのウイルス検出は一般的に検査するファイルにウイルスの特徴的な部分が含まれるかどうかをチェックすることで行う。この特徴のことをシグネチャといい、シグネチャのデータベースファイルのことをパターンファイルと呼んでいる。セキュリティソフトベンダーは日々、新しく検出されたウイルスのシグネチャをパターンファイルに追加し、ユーザーに送信している。

　購読期間が終了するとパターンファイルが更新されなくなるため、新しいウイルスが検出できなくなる。また、購読期間中であってもパターンファイルが作られるまでは同様であるため、パターンファイルの更新頻度はセキュリティソフトを評価する場合の1つの指針となる。

　だが、ファイルを暗号化したり、シグネチャを改ざんするなど、パターンファイルによる検出を回避する手法はある程度確立しており、そのためのツールも数多く存在する。

ヒューリスティックスキャン

　パターンファイルによるマッチングではなく、「ウイルス特有の怪しい動作」を行うコードが含まれているかどうかを検出する。パターンファイルで対応できない暗号化されたウイルスや、新種のウイルスに対抗できる有効な手段と言える。

プロアクティブ

　プロアクティブ（proactive）は「先を見越した」の意。セキュリティ対策では予防的措置、被害の前兆を察知して事前に食い止めることを指し、未知の脅威に対するパターンファイル以外での検出、対策を示すことが多い。ヒューリスティックスキャンはプロアクティブな手法の1つといえるが、各セキュリティソフトベンダーによって微妙に使用法が異なっている。

　ファイルを解析して怪しい動作を行うプログラムを検出することをヒューリスティック、実際の動作を監視し、怪しい動作を行おうとしたときに検出することをプロアクティブ、と使い分けている場合もあれば、この例のヒューリスティックと同じことを「スキャンベースでビヘイビア（ふるまい・動作）を分析してプロアクティブに検出」と表現するベンダーもある。

　用語の統一がなされていない以上、スペックを読み解く場合には言葉にとらわれず、それが「ファイルのコードを解析」するのか、「動作そのものを監視」するのかを意識する必要がある。もちろん、両方とも不可欠な機能だ。

ビヘイビア

　ふるまいのこと。プログラムがどのような動作をするのかを監視することをビヘイビア分析、ビヘイビアスキャンなどという。

ファイアウォール

　ファイアウォール（防火壁）はネットワークを経由した攻撃や侵入を防ぐ仕組みのこと。セキュリティソフトでは「パーソナルファイアウォール」と名付けられていることが多いが、これは本来、ファイアウォールでは専用の機器をインターネットと内部ネットワークの間に設置して防御するのに対し、PC自身でネットワークを監視する局所的な対応であることを示していると思われる。

　Webサイト閲覧やメールによるウイルス感染も広い意味ではネットワーク経由と言えるが、ここでは主に外部からターゲットPCに対する通信を指している。通信を完全に遮断すれば安全だが、利便性を大きく損なうことになるため、プロトコルやプログラム、通信の相手によって選択的に通信を許可することになる。

　例えば、内部ネットワークでのファイル共有、プリンタ共有は普通に行われることだが、それを外部からも共有できるようにするのは問題があることは明らかだろう。また、いったんウイルスなどに感染したPCは内部から外部に向かって通信を行う場合もあるため、被害の拡大を防ぐためにも内部からの通信についても保護が必要になる。

セキュリティソフト6製品を比較

　今回比較を行うソフトウェアは検出性能がよいことで知られる以下の6製品を選んだ。

• ノートン・インターネットセキュリティ2008
• マカフィー・トータルプロテクション with サイトアドバイザプラス
• ウイルスバスター2008
• カスペルスキーインターネットセキュリティ7.0
• G DATA TotalCare
• ESET Smart Security

　検出率はそれなりでOKだから、より安いもの、より軽量なもの、という観点で選択するとしても、どれくらいの検出率であれば大丈夫なのかを判断することはできない。検出率は100％でない限り、そのソフトウェアをすり抜けてしまうマルウェアは必ず存在する。検出率99％のソフトウェアを使用していても、検出できない1％のマルウェアが自分のPCに到達する確率は誰にも分からない。

　アンダーグラウンド系サイトの利用が多かったり、P2Pソフトを常時利用していたり、ルータを使用せずに固定IPで直接インターネットに接続していたり、ルータを使用していてもDMZに設定していたり、さらにはそういう危険性の高い利用をするユーザーが同じLAN内にいたりと、危険に触れる確率はさまざまな要因で変化する。

　現時点で検出率100％の製品がない以上、どの程度の検出率でよしとするかは各個人で判断する必要がある。また、検出率の高いソフトウェアが、検出率の低い製品で検出するすべてのウイルスを検出できるわけではないことにも注意が必要だ。AV-comparativesのテストによると、Kaspersky AVの検出率が98.46％であるのに対し、avast! Professionalは95.24％と劣っている。しかし、この2つのエンジンを搭載したG DATA AntiVirusKitは99.31％と、Kaspersky AV以上の成績を叩き出している。これはKaspersky AVが検出できないウイルスがavast!によって検出されたということを示している。

　結局のところ、検出率はある一定以上であればあとはもう運まかせ的なところがある。それよりも多様化した攻撃手段に対応できるさまざまな対策が用意されているかどうか、個人情報保護や保護者機能などの自分に用途にあった機能が用意されているか、そして今回の特集の主眼でもある、少ないリソースで快適に動作するかどうか、といった点を検討すべきだろう。

　第2回では、各ソフトウェアの特徴について見ていこう。