西本逸郎氏のセキュリティコラム「セカンドオピニオンツールの利用によるウイルス調査のすすめ(執筆日2013年11月11日)」

「ウイルス対策ソフトって、どれも変わらないよね。」

よく聞かれる質問です。

一方、例えば「自動車」はどうでしょうか。バスから大型トラック、ダンプ、スポーツカー、高級自動車、普通車、軽自動車、ワンボックス、バンなどがあり、さらに工事用や軍事用なども考慮すると、その目的や特徴は実に様々です。

ウイルス対策も、すでに30年程の歴史があり、自動車と同じように、製品ごとに特徴を持っています。そのため、目的により向き不向きがあるのを認識しましょう。例えば、近所のスーパーマーケットへの買い物が主な人が、ダンプカーを購入するようなことも起きます。

私 が勤めているラックのセキュリティ監視センターJSOC(ジェイソック)では、ウイルスに感染させるサイトの情報を収集し、その検証を日々行っています。 検証は、実際にその不正サイトを巡回し集めたウイルスを、ウイルストータルというサイトで、ウイルスとして判別できるかどうかを検証しています。このウイ ルストータルでは寄せられたウイルスを、47程度のウイルス対策ソフトでチェックし、ウイルス対策ソフト毎の検出結果を示してくれるサイトです。そして、 47のウイルス対策ソフトの中で、日本でよく目にするウイルス対策ソフトでの検出率が、こちらの表1と表2になります。

表1、                                                       表2
nishimoto20131126011nishimoto20131126012

この二つの表は別な日のものです。これを見ると、製品によって大きなばらつきがあるのがわかります。

さて、個人が使用するウイルス対策ソフトにはどんな特徴があるでしょうか。端的に言うと、人のレベルに合わせた様々な商品が存在します。自分の技量やパソコンの利用目的に合わせたウイルス対策ソフトを選択することが出来ます。

一 方、企業の場合はどうでしょうか。一般的には、情報システム部門などが一括管理することが多いので、管理のし易さ、つまり運用のやりやすさが重要となりま す。また、利用者の多くはパソコンやセキュリティに関しての知識も薄いため、不用意なメッセージや判断を求める問い合わせなどが頻繁に発生すると、業務に 差し障りがでることもあり、場合によってはクレームになることもあります。

フォールスポジティブとフォールスネガティブと言う言葉をご存知でしょうか。フォールス=False 過ち ですので、フォールスポジティブは「前向きな過ち」で「見誤り」、フォールスネガティブは「後ろ向きな過ち」ですから「見逃し」になります。

一 つ目のポイントは、この「見誤り」と「見逃し」です。ウイルス対策ソフトも当然この二つの「過ち」のせめぎ合いがあります。それは、見誤りを減らすと見逃 しが増え、逆に、見逃しを減らすと見誤りが増えるという関係を一般的には持っています。それは、その製品の基本的な性能と製品の開発思想によります。

1.ウイルスは全部見つけられるものではない。そうであるならば、見逃しは前提である。となると、見誤りを最小限にしたほうが運用は楽。いわゆるウイルス警告が少ない「静かな製品」。
2.ウイルスの侵入は極力抑えたい。そうであるならば、見誤りを許容しても遮断を優先しよう。その代わり、見誤りに関しては使用者の判断に委ねる。いわゆるウイルス警告が多い「騒がしい製品」。

この、静かな製品と騒がしい製品の組み合わせは重要です。

次に考慮すべきことは、使う目的です。

1.日常的に多くの利用者に使用させる。
製 品のライセンス料や保守料に管理コスト(管理のし易さ)を加味します。目的としては、はっきり言って「アリバイ対策」です。いざ何かが起きた場合、ウイル ス対策もやってなかった、無名のウイルス対策ソフトを利用していたなどの追及から逃れるための保険のようなものです。ある面、そう割り切って利用しましょ う。ここでは、基本的には有名ベンダーの「静かな製品」が目的に合致します。

2.しっかりと守りたい。
一部の組織や人など、高度な対策を施したい場合、そこだけ「騒がしい製品」を導入します。全社を同じウイルス対策ソフトで同じ管理を行う必要は全くありません。逆に言えば、すべて同じということは、すべて組織や人が重要度もIT力も同じだということになります。

3.多様性を確保する。
同 じ職場でも人によって利用するソフトを分けるという手段があります。そうすることで、「騒がしい製品」が潜んでいるウイルスを見つけてくれ、「静かな製 品」が見つけてくれなくとも、そのウイルスの行動を暴くことで潜んでいるウイルスを一網打尽にすることも可能となります。すべて、同じ「静かな製品」だと そういうわけには行きません。

これが、いわばセカンドオピニオンです。

3.異変があったときに調べたい。

不 振なメールを開いてしまった。改ざんサイトによる注意喚起があり、当社でも閲覧していることが確認されたなどのときに、ウイルス感染しているかを調べたい ことはあるでしょう。その場合、ウイルス対策ソフトで直ぐにスキャンするのはやめておきましょう。まずは、現状の保全(ハードディスクとメモリ内容)を行 い、それから調査を行わないといけません。それは、例えると事件現場を土足で乱暴に歩き回るようなもので、そこからけし粒ほどの痕跡を探さないといけない というような認識が重要です。そのため、調査の仕方によっては、その痕跡が全てかき消され、どれがウイルスなのか、どうやって感染したのかなどが全く判別 できなくなることも多々あります。

ですので、面倒でも、万一を考えるならば専門家に依頼するのが一番です。

昨今、攻撃側 の手口も、サイトに侵入し罠を仕掛け、ソフト開発メーカーも気が付いていないセキュリティホール「ゼロデイ」で狙った相手だけを仕留め、内部情報を窃取し 遠隔操作する手口の多くに、「静かな製品」では見つからないウイルスが使われます。そのためには、セカンドオピニオンと専門家の有効活用が重要な時代に なっています。専門家を使いたくない組織では、自身のIT活用技術を向上させる必要があります。それは、現在の個人でのスマホ浸透度合いや将来的な企業に とってのITの位置づけの変化を考慮しても、効果的な手です。

Related post

更新情報

最新コラム

  1. 先日、MicrosoftウェビナーにてPowerAppsを使ったモバイルアプリケーションの作成方法に…
  2. はじめに 初夏の暑さを感じる季節になりました。早くも30℃超えを観測している所もありますね。そんな…
  3. みなさん、こんにちは! プライム・ストラテジーでコンサルタントをしております、穂苅 智哉 (ほ…

ログインステータス

You are not logged in.
Return Top