重要なお知らせ 新型コロナウイルス感染拡大にともなう電話問い合わせについて

ウイルスの脅威からデバイスを保護する（2）

前回は「Windows Defenderだけでは企業のウイルス対策は万全とは言えない」と述べました。それではどのようなウイルス対策を行えば、十分な安全性を確保できるのでしょうか。注目すべきポイントは大きく3点あります。

1：未知のウイルスの検出

第1は未知のウイルスを検出できることです。前回でも述べたように、最近では新種のウイルスが次々と生み出されており、これを使った「ゼロデイ攻撃」が増えています。すでにセキュリティベンダーが認識しているウイルスは、ウイルスに含まれるコードパターンを記述した定義ファイルが作成・配布されており、これとマッチングさせることで検出できます。しかし未知のウイルスはこの手法が通用しません。既知のウイルスをほんの少しだけ変えた「亜種ウイルス」でも、検出は不可能になってしまうのです。

このような問題を回避するために登場したのが「ヒューリスティック」と呼ばれる手法です。これは単純なパターンマッチングではなく、より抽象的な観点でウイルスを検出する方法であり、ウイルスでよく見られるコードの特徴、ありがちな挙動、過去に発見されたウイルスとの類似性等に着目し、未知のウイルスを見つけ出します。この手法は当然ながら、誤検出が発生する危険性があります。いわば、過去の犯罪者と見た目や挙動が似ているというだけで、相手を犯罪者だとみなすようなものだからです。そこで重要になるのが、誤検出を最小化するための機械学習機能と、学習を促進させるためのデータを用意することです。

2：ハッカーへの対応

第2のポイントは「パッカー」への対応です。これは一種の圧縮ツールですが、圧縮の対象が実行ファイルであり、圧縮ファイルを解凍すると即座にそれが実行されるという特徴があります。最近ではこれでウイルスを圧縮し、攻撃先に送り込むという手法が増えています。パッカーによって圧縮することで、既知のウイルスでも検出が困難になるからです。

3：エクスポロイトへの対応

第3は「エクスプロイト」への対応です。エクスプロイトとは、ユーザーが使用しているソフトウェアの脆弱性を利用した攻撃手法です。多くの場合、ソフトウェアのメモリ管理やデータ管理、ロジックの欠陥が脆弱性となり、その脆弱性を突く形で悪意のあるコードが送り込まれます。このような攻撃を回避するには、使用しているソフトウェアのセキュリティパッチを確実に適用する必要があります。しかし未知の脆弱性が存在し、それに対する攻撃が行われた場合には、回避が難しくなります。

選択すべきなのは全ての要件を満たすウイルス対策ソフト

これら全てを実現しているウイルス対策ソフトは存在するのでしょうか。答えは「Yes」です。それが、法人向けセキュリティ製品の最新版として昨年11月に国内提供が開始された「Symantec Endpoint Protection 14」です。

この製品でまず注目すべきなのが「SAPE（Static Attribute Protection Engine）」と呼ばれるウイルス検出用の機械学習エンジンを搭載していることです。またこのエンジンをトレーニングするために必要となる、ウイルスのサンプルデータも膨大に収集されています。その収集の仕組みは「GIN（Global Intelligence Network）」と呼ばれていますが、ここにはすでに3兆7000億ものデータが蓄積されているのです。これによって誤検知を最小化しながら、未知のウイルスを検出できるようになっています。