セキュリティソフトのテストの裏側
Genes氏の講演を受けたあとで行われたパネルディスカッションには、独立テスト機関大手3社から、AV-Comparatives.orgのバイスチェアマンであるPeter Stelzhammer氏、AV-Test.orgのCTOであるMaik Morgenstern氏、NSS LabsのプレジデントであるRick Moy氏が参加。Genes氏がモデレーターを務めている。
AV-Comparatives.orgのStelzhammer氏は、マルウェアの状況は3〜4年前とは大きく異なっており、特にステルス性が際立っていると説明している。これに対応するには、昔と現在の両方の技術が必要となると話している。
AV-Comparatives.orgバイスチェアマンのPeter Stelzhammer氏
AV-Comparatives.orgのテストはオンデマンドで行われており、6〜10週間かけて実施、5〜6分おきに新しいベクターを試験し、URLをコールしている。しかしマルウェアも賢くなっており、同じIPアドレスからコールしているとマルウェアは隠れてしまうという。このためテストには大量のIPアドレスが必要となるとしている。
また、AV-Comparatives.orgは、100台規模のホールプロダクトテストも実施しており、こちらは自動化されている。ハードウェアもすべて購入しているので経費や置き場所も大変だが、テストには不可欠だという。同社は、ハニーポットも世界60カ所以上に設置しており、東京の近くにもあるという。不正なURLは動きが激しく、2分後には消えてしまうこともあると説明する。
このため感染したかどうかを判断するタイミングが難しいとしている。今後はさらに多彩なテスト手法を組み合わせていくことだ重要だと思うが、マルウェア対策で何より大事なのは啓発であると、Stelzhammer氏は主張している。
AV-Test.orgでCTOを務めるMaik Morgenstern氏
AV-Test.orgのMorgenstern氏は、主に雑誌から依頼を受けてテストを実施しており、テスト手法は従来のものと最新のものを組み合わせているという。現在の不正プログラムは、メールのリンクやサイトのクリックで悪意あるコードをダウンロードし、実行する必要があり、複数の手順を経ないと悪さができないと説明する。
同社では、これら外部からのレイヤの手順を実際に行い、コードを入手するほか、検知のレイヤとして挙動監視なども実施している。このためテストに時間はかかるが、半端なテストはユーザーの信頼を失いかねないので手を抜くことはできないとMorgenstern氏は説明する。
NSS LabsのMoy氏は、独立機関としてテストは実際のハッカーと同じように行わなければならないと認識していると説明。その点で「われわれはプロダクトアナリストであり、GartnerやForrester、IDCなどに近いポジションであり、ビジネスモデルも同じようなものとなっている」と説明する。
NSS LabsプレジデントのRick Moy氏
セキュリティベンダーから金銭をもらっていないため、中立的な立場で公正なテストが行えるとしている。同社でのテストのひとつは、PCが真っさらな状態から開始し、10〜14日間実施。期間の終了後に統計を収集、分析するというものだ。ちなみにテスト中にマルウェアと遭遇することもあるが、それもテストの一環だという。
もうひとつのテストは、マルウェアと遭遇し、不正なプログラムが実行されたときにセキュリティソフトが保護できているかどうかを検証するというものだ。また、新種に対してセキュリティベンダーがどのくらいで対応するかもあわせてチェックしているという。数日間で対応するものもあれば、数週間かかるものもあるという。
さらに、重要な部分を保護できているかどうかもチェックしており、これらのテストはベンダー間に波紋を起こしているようだ。基本的に「安全基準は、その業界のメカニックが作成してはいけない」というスタンスであり、今後もアグレッシブに正確なテストを実施していくと述べた。
(後編は8月20日に掲載します)
