感染リスクを極限まで減らす
ウイルス対策ソフト「G Data」

広がる脅威に高い効果、「検出率」という原点

　2010年を振り返ると、ウイルスの脅威はますます広がったといえるだろう。Gumblar（ガンブラー）によるWebサイト改ざんとウイルス感染では、日本国内で多くの被害が報告された。また、Stuxnet（スタックスネット）のように、高度な手法を駆使し、重要インフラの制御システムを狙うマルウェアまで報告された。一方で、メディアを賑わせることこそ少なくなったとはいえ、ファイル共有ソフトウェアを通じたマルウェア感染も後を絶たない。中には、情報を盗まれて金銭をだまし取られたり、マルウェアを介して機密情報が社外に流出するケースも報告されている。

　一連の動きを踏まえると、2011年は、あらためてウイルス対策を考え直す時期にきているといえそうだ。

　ウイルスの歴史は古く、それらからPCを防御することを目指したアンチウイルスソフトもまた、登場から数十年を経てきた。その過程で多くのアンチウイルスソフトは、多様化する脅威に対応すべく、さまざまな機能を追加してきた。そのこと自体は否定されるべきではないだろう。だが、それがいたずらに製品の肥大化につながってはいないだろうか？ そして、肝心のウイルス検出率がおろそかにされてはいないだろうか？

　本当に効果のある対策を実施しなければ、自分が被害に遭うだけにとどまらず、情報漏えいや第三者による攻撃の足場となり、周囲にも迷惑をかけることになる。単に「多くの機能が付いているから」や「安くて軽いから」という理由だけでウイルス対策ソフトを選んでもいいのだろうか？ 「検出率の高さ」という原点に立ち返って検討すべきではないだろうか。

ドイツの空港などでも導入される実績を基盤に
日本市場に法人向け製品を投入

　ドイツのG Data Software（以下、G Data）は、ストイックなまでにウイルス検出率の高さを追求しているセキュリティベンダだ。同社の製品は常に最高水準のウイルス検出率を維持しており、Virus BulletinやAV Comparativesといった第三者機関によるテストで高い評価を得ている。

　従来、日本市場向けには、主にコンシューマー向けパッケージ「G Data アンチウイルス」および「G Data インターネットセキュリティ」を販売してきた。だが、2010年にグローバルワイズと手を結び、マルウェアを確実に検出したいと考える法人顧客向けに販売を開始している。

　G Dataの法人向けウイルス対策ソリューションは、クライアントPCに導入する「G Data アンチウイルスクライアント」と、それらクライアントを一元管理する「G Dataアンチウイルスマネジメントサーバー」で構成される。G Data アンチウイルスクライアントには2種類の製品があり、G Data AntiVirus Businessはその名のとおり、アンチウイルスに特化したソフトウェア。一方のG Data ClientSecurity Businessは、ウイルス対策に加えファイアウォールや迷惑メール対策、フィルタリングといった機能を搭載した、統合セキュリティ製品だ。

図1　G Dataの導入イメージ。多様なニーズ、多様な環境に対応できる

　日本でこそ知名度は低いが、ドイツでは官公庁の他、空港など重要インフラを保護するために導入されるなど、豊富な実績を持っている。

99.9％という高い検出率の秘密とは

　G Data製品の最大の特長が、高いウイルス検出率だ。それを支える技術の1つが、「ダブルスキャンエンジン」である。

　G Dataは複数のセキュリティ研究所と提携し、ウイルス検出技術の提供を受けている。G Data Software日本法人の代表取締役社長、Jag山本氏によると「研究所によって、検出が得意なマルウェアのタイプは異なる。各研究所の得意分野など傾向を踏まえ、常にベストの対策を取れる組み合わせを選び出して、チューニングしている」という。この二重のエンジンにより、既知の脅威を確実に検出する仕組みだ。

　G Dataはドイツ、ヨーロッパ地域をベースとして開発、研究を行っているため、アジア地域で得られる検体への対応について疑問視されることもある。しかし、ウイルスの多くは国境を越えてやってくる。また、前述のAV Testの検出率99.9％という数字は日本を含むアジアを中心としたテストの結果であり、他にも日本コンピュータセキュリティリサーチ（JCSR）が2010年に行ったウイルス検出率テストで、日本で特に注意すべきウイルスを集めた「ワイルドリスト」と日本固有のウイルスも含めた「JCSRサンプル」、両方のテストで検出率100％という結果を残している。

　それでも、セキュリティに携わる方ならばこう言うかもしれない。「昨今のウイルスは、ゼロデイ脆弱性を利用したり、あらかじめウイルス対策ソフトで検出されないことを確認してからばらまかれたりしている。いくら定義ファイルを用いた検出が正確でも、未知の脅威、新しい脅威には無力なのではないか」と。

　これに対しG Dataの製品は、ダブルスキャンエンジンに加えて、ヒューリスティックおよび振る舞い（ビヘイビア）検知を実装している。また、クラウド技術を活用し、メールを介した脅威に迅速に対応する「アウトブレイクシールド」も搭載している。この機能にはCommtouch社の判定技術を使用しており、世界中の監視センター上で不審なメールデータの拡散が確認された場合、それら不審なメールをリアルタイムで遮断できる。

　他にも、脅威の進化に応じた機能が追加されてきた。例えばStuxnetは、USBメモリを介して侵入したと報道されている。このような外部デバイス経由のウイルスに備える「USBメモリのウイルス検知」機能や、ユーザーに気付かれないように侵入し、システムを悪用するRootkitを検知、削除する「Rootkitスキャナー」などがその例だ。もう1つユニークな機能として、CD-ROMからのブート機能がある。ウイルスの中には、感染するとメモリに常駐してしまい、駆除が困難になるものがあるが、こうしたウイルスに対策するものだ。

図2　ウイルス検出率の評価を行っている第三者機関、AV-TESTのテストにおいて、G Dataは38カ月連続で1位を獲得している

　G Dataではこのような一連の技術を活用して、高い検出率を維持してきた。例えばAV-TEST.orgが実施しているウイルス検出率テストにおいて、G Dataの製品は、2007年11月以来38カ月連続で1位を獲得している。うち数回では、99.9％という検出率を達成した。

ユーザーの操作感を向上させる工夫

　すでにウイルス対策ソフトを導入、運用している方ならば、さらにこう言うかもしれない。「いくらウイルスの検出率が高くても、頻繁に誤検知があっては使い物にならない」と。

　この点についてもG Dataは改良を進めてきた。具体的には、誤検知によるミスを防ぐための「ホワイトリスト」だ。

　ここにはあらかじめ、OSや主要ソフトの関連ソフトを登録しておく。ホワイトリスト上のファイルをスキャン対象から除外することで、誤検出を防ぐ仕組みだ。このホワイトリストは、パッチの適用によって修正されたものを追加したり、新たに見つかった脆弱性があるものを除外するといった具合に、ウイルスのパターンファイル同様に更新されている。常にメンテナンスすることで、システムに悪影響を及ぼさず、マルウェアを確実に検出する仕組みだ。

　また、万一誤検知などが生じた場合でも、ユーザーの任意で定義ファイルのデータをキャンセルし、更新前の状態に復帰させる「ロールバック機能」があるので、自社システムに起因する障害などにも迅速に対応でき、安心だ。

　もう1つ、ユーザーの操作感を左右するのが「軽さ」だ。G Dataでは「フィンガープリンティング」技術の活用によって、軽快さも実現している。

　フィンガープリンティングでは、データ領域すべてを一からスキャンするのではなく、ハッシュ値などを元に、変更がなかった部分はスキップし、怪しいところ、変更が加えられたところのみをスキャンしていく。この結果、スキャンに要する時間も、PCへの負荷も減らせるという仕組みだ。ホワイトリストとフィンガープリンティングを併用することで、スキャンを繰り返せば繰り返すほど、軽く動作するシステムを実現できる。

図3　ホワイトリストとフィンガープリンティングの併用により、スキャンを繰り返せば繰り返すほど、所要時間が短縮していく

　とはいえ、やはりエンジンを2つ動かす以上、ある程度の負荷は避けられない。Jag山本氏は「盗難が怖ければ、鍵は1つだけで済ますのではなく2つ付けるもの。その分、開け閉めは不便になるが、盗難のリスクを考えれば仕方のないこと。しかしG Dataを使っている上で、その不便さを感じることはありません」と指摘。やはりウイルス対策ソフトの本分は「検出率」にあるというわけだ。

運用管理の容易さに、国内顧客向けのサポートも

　ウイルス対策ソフトは、特に企業の場合、導入しただけでは意味がない。きちんと運用管理してこそ意味をなすものだ。管理ツールのG Data アンチウイルスアドミニストレータでは、直感的なインターフェイスを通じて操作や設定などが行える。まるで「ウイルスに詳しい研究員を一人雇うようなイメージ」だという。

　それでも、日本ではまだなじみの少ない製品ゆえに、サポート面の心配があるかもしれない。そこで販売代理店であるグローバルワイズでは、法人向けに24時間365日体制のサポート窓口を用意した。何かあったらいつでも、電話もしくは電子メールで問い合わせできる体制のため、いつマルウェアがやってきても心強い。

　加えてグローバルワイズでは、日本市場ならではの取り組みとして、環境に応じて最適な設定を簡単に行えるよう、いくつかのパターンに合わせた推奨設定テンプレートやFAQをWebサイト上で提供する準備を進めている。こうした施策を通じて、日本国内の顧客、特に中堅・中小企業がより簡単に導入できる環境を整える。

　ウイルスはどんどん見えにくく、発見しにくくなっている。こうした見えない脅威をきちんと検出できるツールを導入すれば、管理者も、その効果をきちんと説明でき、ひいては「何のためのセキュリティなのか」「誰が、どのように対策を実施し、誰が責任を取るのか」という根本的なセキュリティポリシーの確立にも寄与するはずだ。