セキュリティソフトを導入する最大の目的は、マルウェアへの感染を防ぐことにあります。そうである以上、セキュリティソフトを選ぶ際にマルウェアの検出力が重要な指標として上がるのは当然の話です。「検出率No.1」とうたわれた製品を選びたくなるかも知れませんが、こういった魅力的なうたい文句について、どれだけのことをご存じでしょうか。
「検出率」や「○○テスト」がいったい何なのかを知らずに、メーカーのいうことを鵜呑みにしてしまうのは、少し危険なことだと思いませんか?

今回の記事では、マルウェアの検出率や、各メーカーが検出力の向上を競い合っている現状についてお伝えいたします。最適な基準でセキュリティソフトを選ぶための参考にしてください。

マルウェア検出の基本的な仕組みとは

現代における基本的なマルウェアの検出方法は、「ライブラリ」を参照して既知のマルウェアと合致するかどうかを判断する、というものです。
「ライブラリ」とはこれまでに見つかったマルウェアを辞書的に収集したもので、新しいマルウェアは発見され次第、ライブラリのアーカイブに登録されていきます。

新しいマルウェアは、世界規模で見れば今この瞬間にも見つかっているので、「いかに早く多くのマルウェアを発見できるか」、「その情報をどれだけ早くライブラリに登録し、ユーザに共有できるか」がセキュリティソフトのマルウェア検出力に直結するといえます。

セキュリティソフトごとの検出力の差はほとんどない

以前はセキュリティメーカーごとに得意・不得意がありました。地域や使用言語によって収集できるマルウェアに差があったため、2000年代まではセキュリティソフトによって検出率が大きく異なるケースも少なくありませんでした。しかし、各メーカーが世界中に研究開発の目を向けている現在、この差はなくなりつつあります。

既知100%の検出はもはや当然、未知のマルウェアへの対抗手段がポイント

「既知のマルウェア」と「未知のマルウェア」とで対抗手段は異なる

既知のマルウェア既に発見され、ライブラリに収集されているマルウェアのこと。
未知のマルウェアライブラリには収集されていないマルウェアのこと。

前述している様に、既知のマルウェアに対してはライブラリを参照することによって判別しますが、たとえば攻撃者自らが新しく開発したマルウェアを使って攻撃を仕掛けてきた場合はどうでしょうか?その時初めて使われたのですから、当然ライブラリには収集されていません。このようなライブラリに情報のないマルウェアを、反対に「未知のマルウェア」と呼びます。

実際に、未知のマルウェアを使ったゼロデイ攻撃は毎日のように行われています。既知のマルウェアの検出率が限りなく100%に近づいたとしても、未知のマルウェアからの攻撃を防げないのでは完璧とは言えません。

未知のマルウェアへの対抗手段「ヒューリスティック機能」

そこで各メーカーが力を入れているのが、「ヒューリスティック機能」です。メーカーによって「インテリジェント機能」や「ヒューリスティック検知」、「SONAR保護」など呼び方はさまざまですが、プログラムの挙動によって、悪意のありなしを判断していくのが特徴です。

さらにメーカーによっては、ヒューリスティック機能をあらかじめクラウドにあるデータベースと連携させ、より素早い対応を取ろうと模索しているところもあります。 既知のマルウェアへの対応がほぼ100%になった現在、各メーカーが次に目指すのは、未知のマルウェアへの対抗です。その対抗手段の一つであるヒューリスティック機能の向上は、検出力を上げるために各メーカーがしのぎを削っている分野です。

最適なアップデートの頻度とは

アップデートサイクルは「早ければいい」というものではない。

標準的なマルウェア対策はコンピュータ内のライブラリと照らし合わせて行うものですから、「ライブラリにどれだけの情報が入っていて、どれだけの頻度でアップデートされるか」は依然として重要です。ただし、むやみにサイクルを早めればいいというわけではありません。

アップデートの頻度を高めれば多くのマルウェアを検出できるようになりますが、一方であまりに頻繁なアップデートはコンピュータへの負担になりかねないからです。

評価だけに惑わされず、自社に合ったセキュリティソフト選びを

マルウェアは、凄まじい勢いで進化しており、1分1秒を争う時代に突入していると言っても過言ではありません。そのような時代に1日1回のアップデートというのは、正直心細いものがあります。メーカーもそのことはわかっているので、「パルスデート」や「マイクロアップデート」などと名前を付け、アップデート頻度の高さを製品の魅力のひとつとして売りにしています。

ただし繰り返しますが、秒単位のアップデートはコンピュータにも負担をかけます。必要な分を必要なだけ入れるのが大切だということを忘れないようにしましょう。「世界最速アップデート」といったうたい文句にすぐには飛びつかず、「本当に自社と相性がいいのか」をトータルで判断することが賢明です。

ヒューリスティック機能によって起こる誤検出への対策方法とは

セキュリティソフトを使っているうえで避けては通れない問題の一つに、「誤検出」があります。

誤検出とは、今まで使っていて何の問題もなかったソフトウェアが、セキュリティソフトによってマルウェアだと判断され動作を止められてしまうことを指します。
たとえばプログラムに署名が入っていなかったり、単独で勝手にインターネットと接続したりしようとすると、ヒューリスティック機能がその挙動をもとに、マルウェアと判断してしまうのが原因です。 頻度としてはそこまで頻繁に起こるものではありませんが、中にはOS機能の一部が誤検出されたケースもあります。企業のセキュリティ担当者としては常に目を光らせておかなければならない問題です。

メーカーにしても、誤検出をいかに少なくしつつ未知のマルウェアに十分な対応が取れるかが腕の見せ所となっていますので、各メーカーともに技術の向上に余念がありません。

法人向けセキュリティソフト主要6製品の「マルウェアの検出力」比較

ここからは、各メーカーのセキュリティソフトをマルウェアの検出力という観点から比較していきます。

今回も筆者の経験に基づき評価していきますが、AV-ComparativesやAV-TESTなど第三者機関による調査結果も重視しています。
第三者機関による調査結果はタイミングによって多少数値が前後することはありますが、基本的に大きな変化はありません。数値による客観的な評価ですので、ぜひ参考にしてみてください。

Canon ESET Endpoint Protection

既知のマルウェア検出力は100%には満たないものの、他の検出機能は標準的
Canon ESET Endpoint Protectionは、既知のマルウェアへの検出力が100%に満たなかった、数少ないセキュリティソフトの一つです。

数値上は1~2%ですので極めてレアなマルウェアに対策していなかったというだけかもしれませんが、それでも他のセキュリティソフトが100%の検出率をマークしているテストで100%未満だった、というのは一つの指標になるかと思います。 ライブラリのアップデートサイクル、未知のマルウェアへの対策スピードは標準的です。
誤検出もそこまで多いというわけではないので、あまりネットワークにつながない環境で使用するのなら神経質になる必要はないかもしれません。

F-Secure プロテクション サービス ビジネス

未知のマルウェアへの対応スピードは標準的なものの、誤検出はやや多め
既知のウィルスの検出率はほぼ100%で、他のセキュリティソフトに比べても標準的です。

アップデートのサイクルはややゆっくりですが、重要なアップデートは即座に行われます。すぐにアップデートするべきか、それとも通常アップデートで十分なのかについては、メーカー側で優先度がつけられているのだと考えられます。 未知のマルウェアへの対応スピードは標準的です。ただ、誤検出は若干多めで、この点はやや難あり、といったところでしょう。

Kaspersky Endpoint Security for Business

頻繁なアップデートと高性能ヒューリスティック機能で、強力なマルウェア検出を誇る
既知のマルウェアを検出する能力は他のセキュリティソフトに比べても高く、第三者機関による調査ではまず間違いなく100%をマークしています。

この検出能力を支えるのは、秒単位で行われることもある頻繁なアップデートです。ヒューリスティック機能についても非常に高い精度を誇っており、未知のマルウェアの検出はもちろん、誤検出もそうそう起こりません。

古くからセキュリティの専門家の間ではカスペルスキーが最も優れているという声も多く、マルウェア対策という観点だけで見るならば最も心強いセキュリティソフトだといえるでしょう。

McAfee Security for Business

どの機能をとっても標準的な、なじみやすいセキュリティソフト
古くからセキュリティソフトの開発を行っており、御三家に数えられるMcAfeeのビジネス向けセキュリティソフトがMcAfee Security for Businessです。

既知のマルウェアの検出率はほぼ100%と標準的で、ライブラリのアップデートスピードも同じく標準的です。誤検出も非常に少なく、現時点で特筆すべき問題点がある、という声は聞きません。

最近ではDELL製のコンピュータに標準装備されていることもあり、なじみのある方も多いのではないでしょうか?ただ、アンインストールがスムーズにできないことがあるため、他社製のセキュリティソフトに乗り換える際には注意が必要です。

Symantec Endpoint Protection

強力なヒューリスティック機能を持つ分、誤検出の割合も多い
こちらもセキュリティソフトメーカー御三家の一つ、Symantecのビジネス向けセキュリティソフトです。

既知のマルウェアの検出率はほぼ100%で、ライブラリのアップデートサイクルが非常に速いのが特徴です。 ただし、ヒューリスティック機能であるSONAR保護は、判定が他のセキュリティソフトに比べて厳しいため、誤検出の割合は高めです。もっとも、その分ライブラリにデータのない未知のマルウェアへの対応は強く、ここら辺はセキュリティソフトメーカーの考え方が現れている点といえるでしょう。

Trend Micro ウイルスバスター ビジネスセキュリティサービス

ヒューリスティック機能をクラウドと連携させ、素早い対応を目指す
御三家の最後の一つで、日本でもウイルスバスターでおなじみのトレンドマイクロのビジネス向けセキュリティソフトです。

古くからセキュリティソフトを開発しているだけあって、既知のウィルスに対する検出率はほぼ100%を誇っています。ライブラリのアップデートサイクルはそこまで激しくありませんが、世界的にマルウェアが流行るなどの兆しがあると、早いサイクルでアップデートが行われるようになります。状況やタイミングによって、臨機応変に対応している印象です。

ヒューリスティック機能はクラウドと連携しており、未知のマルウェアへの対応はスピーディです。一方で検出率を高めるためにプログラムを常にチェックしているので、誤検出もやや多くなってしまっています。Symantec同様、メーカーの考え方、ポリシーが現れている点です。

 最後に 

「検出率No.1」「○○テスト合格!」の真実

家電量販店などで家庭用のセキュリティソフトのパッケージを見てみると、「〜〜No.1」と書かれているソフトがあると思います。しかし、「No.1」の根拠が示されていないものも多く、仮に書いてあったとしてもすべてのセキュリティソフトが参加する調査かどうかはわかりません。もしかしたらごく一部のセキュリティソフトの中でNo.1になっただけかもしれないので、評価の基準としてはあてになりません。

また、「○○テストに合格!」などの宣伝も、受けたセキュリティソフトのほとんどが合格するテストもありますから、あまり信じ込まないようにしましょう。

大切なのはマルウェアの検出力ではなく、自社に合っているかどうか

企業努力によって、どのセキュリティソフトを選んでも、マルウェアの検出率に大差はないという時代に来ています。そのため、セキュリティソフトを導入する際には、マルウェアの検出力を中心に考えるのではなく、自社にどんな機能が必要なのかを基準に置き、検討するようにしましょう。