今秋、各セキュリティベンダーから、新たなセキュリティ対策ソフトが続々とリリースされた。一見、同じようなものと思えるかもしれないが、各製品の違いは意外に大きい。逆にそこが、セキュリティ対策ソフト選びの難しさになっているともいえる。そこで、本稿では、セキュリティ対策ソフト選びの参考となるように、いくつかの共通項目での比較を行ってみたい。その前に、最近の脅威について概観してみよう。
さまざまな脅威がごく身近に
2012年、まずもって多様な脅威が身近になったという印象があげられる。たとえば、フィッシング詐欺である。これまでは、欧米圏を攻撃目標としたものが多かった。したがって、日本を攻撃目標とした攻撃では、微妙におかしな日本語が使われていた。それが注意力を喚起し、ユーザーも騙されにくかった。しかし、最近のフィッシング詐欺では、ネイティブ並みに日本語に精通した攻撃者がいると思われ、見た目や文章レベルでは偽物と疑えないレベルになってきた。その結果、ID・パスワードの詐取、不正送金などの具体的な被害が、これまでにないレベルで発生しつつある。
 |
図1 フィッシング詐欺の注意喚起を行うみずほ銀行のWebページ |
また、10月には遠隔操作ウイルス:iesys.exeによるなりすまし事件が発生した。被害者が加害者となったのである。結果的には、誤認逮捕ということで終息しつつあるが、ウイルス感染の怖さを改めて認識させられる事件となった。そして、ウイルスの被害者にもかかわらず、誤認逮捕された人々が拘留や保護観察といった不当な措置を受ける結果となった。さらに、真犯人と名乗る人物が犯行声明(犯人ならではの情報を含み、かなり信憑性が高い)をマスコミや有名な弁護士に送りつけ、警察をあざ笑うかのような内容も注目を集めた。
これまでは、不審なメールは読まずに捨て、怪しいWebサイトは閲覧しない、何よりも注意していればウイルス感染など大丈夫と考えていた人も少なくないであろう。しかし、それだけでは危険と言わざるをえない状況になってきた。標的型攻撃では、取引先や上司を騙りメールを送ってくるが、本物と区別がつくだろうか?まさにセキュリティ対策ソフトが、もはや必須となっているのだ。
さらに、この数年でスマートフォンに代表されるモバイルデバイスの飛躍的な普及もある。クラウドを介してPCとデータを共有することで、プライベートでも仕事でも、スマートフォンを使うことが当たり前になってきている。PCだけを守っていればいいという時代は終わったといえよう。実際に、この1年で検出されたAndroidを対象としたウイルスは、急増している。所有するデバイスが何であれ、使用しているデバイスをトータルに守っていくかが求められているのである。
5項目の評価項目
今回は、以下の5項目のベンチマークや評価を行った。
- スキャン速度
- 検知力
- 脆弱性対策
- Webブラウザへの対応度
- 日本語での情報提供
これらの項目について、最高評価は★3つ、最低評価は★なしの評価をした。また、あくまでも参考程度であるが、ライセンス形態にも注目したい。上述のように、PCだけ守ればよいという時代は終わったのである。その時代の流れに対応しようと各社ともライセンスに工夫をしてきているので、そのあたりも注目したいと思う。今回評価を行ったセキュリティ対策ソフトは、次のとおり。
- ESET:ESET Smart Security V5.2
- カスペルスキー:カスペルスキー 2013 マルチプラットフォーム セキュリティ
- シマンテック:ノートン360マルチデバイス
- ビットディフェンダー(ソースネクスト):スーパーセキュリティZERO
- トレンドマイクロ:ウイルスバスタークラウド
- マカフィー:マカフィーオールアクセス
スキャン速度
セキュリティ対策ソフトの基本性能といってもよいであろう。評価にあたり、VMwareの仮想マシンを構築した。
- OS:Windows 7 Ultimate 32bit
- 割り当てメモリ:1GB
- 割り当てCPU:1
- 仮想HDD:30GB(起動ドライブ)
- ホストPCは、Core2 Quad Q9400S(2.66GHz)、メモリ:8GB、HDD:1TB、Windows XP 64bit
その他は、簡易インストールでの設定をそのまま使用した。OS以外にWebブラウザをインストールしている。この状態を標準としている。各セキュリティ対策ソフトのみをインストールした。スキャンを行ったのは、CドライブのWindowsフォルダである。厳密にいえば、ファイル数やフォルダサイズに違いがあるが、おおむねファイル数は61,000くらい、フォルダサイズは10.6GBほどであった。セキュリティ対策ソフトによっては、「フルスキャン」や「詳細検索」といった区別があるが、右クリックして表示されるコンテキストメニュー内にあるスキャンメニューを実行した。
 |
図2 ESETのスキャン実行中 |
計測は、ログなどでスキャン時間が表示されるものはその値を、それ以外は実測を行った。3回の測定を行い(各測定後には再起動を行った)、また、スキャン計測の際に、UIに表示されるスキャン項目数もあわせて掲載した(カスペルスキーのみ「ファイル数」と表示していた)。その一覧が表1である。
表1 フルスキャンの実行結果
| 1回目 | 2回目 | 3回目 | - | ||||
| 時間 | 項目数 | 時間 | 項目数 | 時間 | 項目数 | 評価 | |
| ESET | 9分20秒 | 67995 | 0分44秒 | 61605 | 1分06秒 | 61607 | ★★★ |
| カスペルスキー | 11分13秒 | 63730 | 0分43秒 | 61624 | 0分33秒 | 61628 | ★★★ |
| シマンテック | 8分18秒 | 75208 | 2分24秒 | 73998 | 2分22秒 | 74000 | ★★★ |
| ビットディフェンダー(ソースネクスト) | 20分21秒 | 143310 | 15分49秒 | 83230 | 0分56秒 | 83229 | ★★ |
| トレンドマイクロ | 20分52秒 | 61698 | 10分46秒 | 61697 | 12分59秒 | 61701 | ★★ |
| マカフィー | 26分46秒 | 61627 | 3分13秒 | 61623 | 2分43秒 | 61629 | ★★ |
 |
スキャン速度では、1回目で20分以上かかるものと、そうでないものに二分される結果となった。1回目は、シマンテックがもっとも速かった。また、いずれの製品でも、2回目以降はスキャン時間が減少している。これは、1回目のスキャンで安全とわかったファイルを、2回目以降のスキャンでは除外しているためである。ただし、この方法についても、スキャン対象のファイルの選択同様に、公になっていない。
まずは、1回目のスキャン結果に注目したい。ある意味、リアルなスキャン性能ともいえるからだ。上位3つはいずれも10分前後となった。上位三つのうちではもっとも時間のかかったカスペルスキーであるが、2回目以降は、非常に短時間でスキャンが完了している。このあたりも注目したい。ユーザーが普段利用している状況ならば、2回目以降のスキャン結果が実体験に近いと思われる。1回目に多少の時間がかかっても、2回目以降は短縮で完了する仕組みだ。評価にはこの点も加味した。しかし既にウイルス感染の疑いがある場合などは、完全スキャンを行わなければならない状況も想定される。そのような場合には、リアルなスキャン性能(1回目の結果)が求められるだろう。そんな状況も考慮して、評価を見ていただきたい。
検知力
第三者機関によるテスト結果
セキュリティ対策ソフトのウイルス検知力も重要な機能の1つである。ウイルスが何らかの方法でPCに侵入してきた場合に、パターンファイル(ウイルス定義ファイル、シグニチャーなどと呼ぶこともあるが同じもの)と照合し、それがウイルスかどうか判定するのである。この機能は、ウイルス対策として初期から存在する方法である。少し脱線するが、この数年でウイルスの数が指数的に増加している。その分パターンファイルも肥大化し、大きな問題となっている。たとえば、更新を速やかに高頻度で行うことが難しくなる。また、更新の際の負荷も無視できない。そこで最近では、パターンファイルをクラウドに配置するといった工夫が多くの製品で採用されている。これにより、より迅速にパターンファイルを更新しPCの負荷を軽減することが可能となった。最近では、多くの製品が採用している。
さて、話を戻そう。ウイルス検知力であるが、大量に存在するウイルスをどのくらい漏れなく検知できるかが重用である。そこで今回は、オーストリアの第三者機関AV-Comparativesの結果を引用した。AV-Comparativesでは、ハニーポットと呼ばれるセキュリティ対策をしていないPCをインターネットに接続してマルウェアに感染させ、ウイルスを収集する(ハニーポット以外の方法もある)。収集されたウイルスのうち、過去9か月以内に配布されたウイルスを、セキュリティ対策ソフトで検知できるかチェックするのである。その評価情報などは、ユーザー、ベンダー、学術機関の有識者などと検討し、なるべく公正な評価となるように努めているとのことである。
 |
図3 シマンテックのノートン評価スキャン |
今回は、比較的評価がわかりやすいプロテクションテストとファイル検知の2つのテスト結果をみることにした。
表2 AV-Comparativesのテスト結果
| プロテクションテスト 2011/03-06 | プロテクションテスト 2011/08-11 | プロテクションテスト 2012/03-06 | ファイル検知 2011/08 | ファイル検知 2012/03 | ファイル検知 2012/09 | |
|---|---|---|---|---|---|---|
| ESET | ★★★ | ★★ | ★★ | ★★★ | ★★★ | ★★ |
| カスペルスキー | ★★★ | ★★★ | ★★★ | ★★★ | ★★★ | ★★★ |
| シマンテック | ★★ | ★★★ | 実施なし | ★★ | 実施なし | 実施なし |
| ビットディフェンダー | ★★★ | ★★★ | ★★★ | ★★★ | ★★★ | ★★★ |
| トレンドマイクロ | ★★★ | ★★ | ★ | ★★★ | ★ | ★★★ |
| マカフィー | ★★ | ★ | ★★★ | ★★ | ★★★ |
評価結果をまとめると、以下のようになった。残念ながら、シマンテックは2012年になってから、AV-Comparativesのテストに参加していない。今回は実施なしとした。
 |
見ての通りであるが、カスペルスキーとビットディフェンダーが過去6回のすべてのテストで最高点を獲得している。つまり、検知力については最高レベルにあると判断してよいであろう。一方、評価の低い製品についても、使いものにならないというレベルではない。ごくわずかな差である。
そして、もう1つ注目したいのが誤検知である。AV-Comparativesのファイル検知でも、検知した検体数から、誤検知を引いたものを正しい検知数としている。たとえば、同じ94%でも、
検知99%-誤検知5%=94%
検知96%-誤検知2%=94%
の違いがある。筆者ならば、後者の方を選びたい。なぜなら、実際に使用していて、誤検知は非常に不信感が増大するからだ。また、検知メッセージが余計にでることもわずらわしい。この点、カスペルスキーがよい成績であった。