マルウェア対策製品の比較テストが有効に機能するためには、「正確なこと」、「総合的であること」、「客観的であること」の3点が必要です。ただ、有効なテストを実施することは容易ではありません。
マルウェアがA地点からB地点へ移動・感染する際に使う手段は、たくさん存在します。その結果、マルウェアの伝染を妨げる技術も以下のように、非常に膨大なものとなっています。
- 既知のマルウェアを対象とする静的スキャン
- 既知のマルウェアの知られていない亜種を対象とする系統認識
- ビヘイビア(行動)分析
- ドメインおよびURLのブラックリストとレピュテーション(評判)
- クラウド技術を使った保護策
- 頻繁な情報更新
- スパム対策
- 仮想化とエミュレーション
- 対象とするプログラムの評判
- サンドボックス化
- ブラックリスト化
- ホワイトリスト化
- セキュリティポリシー
- 侵入防止技術
- その他
かつてマルウェア対策製品は、上述した技術のうち3つか4つを採用していれば十分、という時代が続いていました。その後、マルウェア対策製品が優れた検出力を有するようになり、サイバー犯罪者はこの状況を回避するため、新型マルウェアの開発を次々に行いました。その結果、マルウェア数は依然、増加傾向にあり、2010年上半期はマルウェア作成が最も活発な半期となりました。
マルウェアに対抗するには、より多くの技術を導入する必要があります。その結果、マルウェア対策製品の比較テストの難易度が、大きく上昇しました。第一に、全体的な傾向として以前より複雑になりました。第二に、製品によって採用している技術の組み合わせが様々で、同じ方法でテストが実行できなくなりました。以前は、特定の時期以降に現れたマルウェアをサンプルに使って試験する場合、テスト対象製品をその時期の状態に「凍結」させる必要がありました。長年実施されていたこのようなテストは、クラウド環境で保護データベースが随時更新される製品には適用できません。クラウド環境はテストする側の管理下にないため、そもそも「凍結」することが不可能なのです。また、製品がより複雑になった結果、以前と比較して、テストそのものに時間と手間がかかるようになりました。
このような状況の中、テストに役立つ情報が存在しています。この情報は、比較テストの善し悪しを知りたいユーザーにも役立ちます。マルウェア対策製品のテストの専門家(マルウェア対策製品のテスト機関やベンダー、メディア、学術機関など)で構成された非営利組織、Anti-Malware Testing Standards Organization(AMTSO)が、Webサイト(www.amtso.org)で2種類のドキュメントを公開しています。
(1)「AMTSO Whole Product Testing Guidelines」:マルウェアの感染・伝染を阻止できる製品かどうかを、総合的に検証する方法を紹介しています。ここで最も重要なことは、どの段階でも構いませんで、何らかの方法を使用してマルウェアの活動を止めるということです。
(2)「AMTSO Performance Testing Guidelines」:マルウェア対策製品の処理速度をテストしようとすると、いくつも大きな落とし穴が待ち構えています。このドキュメントは、そのような注意点を詳しく説明しています
マルウェア対策製品を完璧に比較することなど、まず不可能です。このことを肝に銘じつつ、セキュリティベンダーは、より有効なテストの実現に向けて、各種機関と協力していく必要があるといえるでしょう。
関連記事
- [2010/07/13] 2010年上期:マルウェア中間報告
※本ページの内容はMcAfee Blogの抄訳です。
原文:Are Comparative Tests of AV Products Useful?
