2010年7月7日、東京にて弊社主催の情報セキュリティカンファレンス「Direction 2010」に参加し、日本の多くのお客様やビジネスパートナーの皆様と共にたいへん有意義な時間を過ごすことができ感謝しております。午後のパネルディスカッションでは、セキュリティ製品の第三者評価機関である「AV-Comparatives」・「AV-Test」・「NSS Labs」の各代表の方々を日本にお招きし、セキュリティ製品のテスト手法について非常に有意義な意見交換をすることができました。
 |
| 図:今日の脅威状況に対応した新たなテスト手法が必要である |
パネルディスカッションのテーマは、「セキュリティ製品に求められる真の実力とは? セキュリティ製品のテスト手法はどうあるべきか」。この問題提起に関して、「従来のテスト手法では不十分であり、ぜひとも新たな手法が必要である」という点で参加代表者全員の見解の一致をみたのは、大きな収穫だったといえます。
新しいテスト手法とは、まず何よりも、「インターネットにも接続し、実際にユーザがコンピュータを利用している環境がどういった脅威にさらされており、そうした脅威を現実にどのようにブロックしているかをトータルに検証できるもの」だということです。これにより、セキュリティ製品が多層的な防御をいかに効果的に駆使しているかをリアルに確認することができます。たとえば、不正プログラムに対するセキュリティ製品の効果測定を行う場合、実際の感染や不正活動が発生する前段階での防御、つまり「感染自体を未然に防いでいた事実」もテスト項目として捉えることができます。
現実の不正プログラム対策は、以下のような複数の段階で実施されています。
- エンドポイント到達前にブロックする
対応方法:「URLフィルタリング」や「Webレピュテーション」といった技術により、不正なサイトへの接続そのものをブロック - エンドポイント上での実行を阻止する
対応方法:パターンファイルによる不正プログラムの検出 - 不正と判断される動作を中断させる
対応方法:ヒューリスティック検出に代表される不正と思われる挙動の監視と停止 - 脆弱性の悪用を防ぐ
対応方法:修正パッチが適用されていない脆弱性を含むソフトウェアへのアクセスを無効にする処置
長い間、従来のテスト手法は、上記の2に該当する「不正プログラムの検出率」のみを判断基準とするものでした。このようなごく限られた基準のみでは、セキュリティ対策全体を斬新な視点から捉えようとする創意工夫も軽視されてしまうでしょうし、何よりも、「脅威を未然に防いだ」・「早い段階で阻止した」といった対策手法の試みを評価することもできません。また、1.5秒毎に新たな不正プログラムが発生するという現状においては、「新たな脅威の発生後、どれだけ早く対応がなされたか」という対応速度がより重要な指標となります。従来のテスト手法では、この点も評価できないままです。
新しいテスト手法は、ユーザ側にとっても大きな利益となります。「現実に発生している脅威から本当にユーザを守っているのはどのセキュリティ製品なのか」という疑問に対して正確な回答を得られるからです。これにより、ユーザは「古い検体をかき集めた人工的な環境でスキャンを行なった」というような従来のテスト手法のみに頼る必要もなくなります。新しいテスト手法では、「どのセキュリティ製品がWebからの脅威を効果的にブロックしているのか」という前段階での防御実績だけでなく、「どのセキュリティ企業がもっと早く新たな脅威に対応できたか」という脅威への対応速度も確認することができるのです。
不正プログラムは、現在も凶悪化の一途をたどり、とりわけその拡散方法は、自身のコピーを作成して感染活動を行うという手口から、スパム活動を巧みに利用してインターネット上にばら撒くという手口へと移行してきています。こうした変化に着目することも非常に重要です。これはつまり、不正プログラム自体も5年前と現在では確実に変化してきているということです。新しいテスト手法を導入すべきだ、という理由もここにあります。
今回のパネルディスカッションにおいて、セキュリティ製品の効果測定を行うテスト機関のいずれもが上述の問題点を把握し、新しいテスト手法の導入を進めていることを確認できたのは、たいへん喜ばしいといえるでしょう。
「On AV Testing: Some Steps in the Right Direction」より
July 07, 2010 Raimund Genes
|
翻訳: 与那城 務(Technical Communications Specialist, TrendLabs)