現状にあった新しい評価軸で判断しよう

ウイルス対策ソフトの「検出率」はもう古い！

2010年05月31日 06時00分更新

文● トレンドマイクロ

より現実的な防御力を測るテストとは？

　まず、脅威が1.5秒に1つ（出典：同上）という爆発的な勢いで増えている現実を考えると、数週間かけて収集した不正プログラムに対して「一発勝負」でテストをするのではなく、たとえば最新の脅威サンプルを使用して長期間、数時間ごとのテストを継続して行なうべきである。これにより、ある一点での断片的なデータではなく、各セキュリティベンダー、製品の長期的なパフォーマンスを「線」でみることが可能となる。

　もちろん、サンプルの種類も、Webからくる最新の脅威をサンプルとして使用しなければ意味がない。

　そして、PCに襲いかかる脅威は、HDDに保存された状態で発生するわけではない。Webを経由した感染が大半であるのだから、単純なウイルス検索だけを行なうのではなく、ウイルス対策ソフトが搭載するウイルス検索以外のさまざまなセキュリティ対策技術の総合的な対策能力を評価するべきである。

　このようなユーザー環境、脅威、製品に忠実なテスト手法を作り上げることによって、機能の一部分である検出率という断片的な評価軸で製品を評価するのではなく、すべての機能を使った各ウイルス対策ソフトの「防御力」という総合的な評価軸でみることができる。それは実際にウイルス対策ソフトを日々使っているPCユーザー、IT管理者にとっても現実的な評価基準となるのである。

図1　検出率を測る機能と防御率を測る機能

　それでは、なぜこのようなより現実的なテスト手法が生まれてこなかったのか？

　従来のテスト手法は、1台のPCさえあれば不正プログラムというファイルを集めてディスクに保存し、それに対して検索を実施すると結果が出るという、比較的単純な作業ですんだ。

　一方、現実的なテスト手法を採用するとなると、テスト自動化のツールを作成するなり、人海戦術で行なうなり、随時登場する最新のサンプルを使ってユーザーがWebにアクセスして感染させる作業を繰り返さなければならない。このようなシステムを構築するのは技術と労力、そして時間のかかる作業であり、多くのコストが必要となる。究極のところ利便性が大きな要因といえるが、十数年業界にあった定石を覆すというのは容易なことではなかったのだ。

　しかし、セキュリティ業界にも変化の波が押し寄せている。このような、より現実的なテスト手法の必要性は各方面で認識されており、現実的で公平なテスト手法の標準化をすべく「NSS Labs」という第三者テスト機関が新しい手法でテストを行なったのだ。