 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > Security > やさしいセキュリティ > Anti-Virusの性能評価 | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > Security > やさしいセキュリティ > Anti-Virusの性能評価 | |||||
世界中のソフトウェアメーカからコンピュータウィルスを駆除・感染を予防するツール(Anti-Virus)が提供されています。たくさんの製品のなかから購入(または導入)する製品を選択する判断材料となるものにVirusの検出能力が挙げられます。
世界中で1年間に流行(または1部で流行)したVirusの数は数万種類にもなります。それらの膨大な種類のウィルスにどれくらい対応しているのかを判定している情報を提供している機関があります。ここでは公表されている性能評価の正しい見かたについて説明します。
このページの内容は初心者用に相応しいか少し疑問が残りますが、初心者の方がウィルス対策製品を購入されるときの判断材料として役立てば幸いです。
Virus Bulletin社はVirusの情報提供を目的とした会社で、URLはhttp://www.virusbtn.com/です。
この会社がWildList(別記囲み記事を参照)に対する各Anti-Virus製品の対応能力を測定して、WildListにある全てのVirusに対応していると認められたものが「Virus
Bulletin 100% award(VB100%)」となり[100%]のロゴを製品につけることが承認されます。
VB100%の結果は
http://www.virusbtn.com/vb100/about/index.xml
で誰でも見ることができます。
結果はメーカ(vendor)とOS(pratform)ごとに表示できます。
たとえばメーカごとの成績を見るときにはby vendorをクリックします。するとメーカの一覧が出てくるので、見たいメーカ名をクリックするだけです。
http://www.virusbtn.com/vb100/archives/products.xml
当サイトで紹介しているAVG7の成績を見るときにはメーカである「Grisoft」をクリックします。
左図がGrisoftの成績です。一番上から
「Result summary 7 passes /20 fails」とあるのはこれまで27回テストして7回VB100%、20回はダメだったということです。
「History」以下はこれまでのテスト結果の一覧です。
上から順に新しい日付のテスト結果になります。最近のテストは
「February 2005:Windows NT」:2005年2月にWindowsNTで行ったテストで「Status」:結果は「PASS」:VB100%だったということになります。
またテストした製品はAVG7.0.290だと結果の下に記載されています。
同様に前回のテストは
「November 2004:Windows 2003」2004年11月にWindows2003で行ったテストでこれもVB100%です。
左図にあるように2004年の2月に行ったWindowsNT上のテストではVB100%は取れませんでした。「Review」をクリックすると検出の結果とコメントを見ることができます。2004年2月のテストは新バージョンが出たところだったので、まだ製品として不安定だったようですね。
以上のように、この結果から受け取れることはAVG7は2004年に新バージョンを出してから最初は不安定だったが、その後製品として完成されるとVB100%になっているということです。
つまり過去(AVG6のとき)はVB100%への対応が不十分だったが、最近(AVG7になってから)は他の製品に劣らないVB100%の検出能力を持っているということが分かります。
ちなみにMcAfeeは2005年2月のVB100%を取れていません。しかしMcAfeeはダメ製品でAVG7のほうが優れているとは判断できません。あくまでもテストを行った時点でのWildListに対する検出能力を知るための目安だということを理解しておきましょう。VB100%が取れていない製品のReviewを見ると、99%や95%のようにあと少しで100%というものがほとんどです。100%にならなかった理由は3つ考えられます。
つまりVB100%とは、いつまでもVB100%が取れないメーカには「もう少しでVB100%になるからがんばれ」の声援であり、最近VB100%が取れていないメーカには「サボらないでちゃんとデータベースを世情に合わせてメンテナンスしろ」と励ましているのだと思えばいいでしょう。
| ・WildListとは VB100%の元になっているVirusデータのWildListは、世界中の約80人のコンピュータウィルスの専門家からなるレポータによって報告された「現在、フィールドに存在している(流行している)コンピュータウィルスの一覧」です。レポータから寄せられたウィルスの報告はWildList 取りまとめ機関WildList Organization International(http://www.wildlist.org/)が行い、定期的にWildListを公表しています。WildListには複数のレポータから報告されなかったウィルス(流行が極めて限定的なウィルス)やイタズラウィルスは除外されています。 WildListはhttp://www.wildlist.org/WildList/から入手することができます。 最初にある一覧はレポータの名前と所属で、「The WildList」と書いてある下の一覧がウィルス名です。  右から順に「ウィルス名」 「別名」 「最後に報告された日付」 「レポートした人(記号)」 です。 レポートした人が多いほどウィルスが大流行しているという目安になります。 WildListは数万種類のウィルスを全て網羅しているわけではなく、現在流行っていると思われる数百種類(2005/01で400種類)しか記載されていないリストだということです。 |
もう一度VB100%について考えると、VB100%というのはある時点で流行している(流行していた)ウィルスにすばやく対応しているということになります。しかしVB100%だからといって最新のウィルスに対応しているのかは分かりません。対応速度(流行からパターンデータが配布されるまでの時間)はVB100%では測れません。また非常に限定的な流行のウィルスへの対応もわかりません。
日本では流行したが、世界的には限定的であったW32/Antinny(Winnyで感染が広がったウィルス)はWildListにはありません。レポートする人が1人しかいなかった「Supplemental
List」に記載されています。
このようにVB100%の持つ意味は「現状の主なウィルスにちゃんと対応している」のでほとんどのケースでは安全であるということになります。95%の対応だったAnti-Virus製品がだめだとは言いえないということが理解いただけると思います。
こちらはNTbugtraqなどを運営しているセキュリティ情報の提供会社TruSecure社の独立研究機関であるICSA.labsが承認した製品につけられるロゴ。
TruSecure社のURLはhttp://www.trusecure.com/
ICSA.labsのURLはhttp://www.icsalabs.com/
ICSA labsの承認を取るにはWildListによるテストと共に、ICSA独自のウィルスリストへの対応も検査した結果で判断されます。
検査の内容は
・WindListの全て(100%)を検出する。
・ICSA LabsのCommon Infectors Test Suiteの全てを検出する。
・ICSA LabsのPolymorphic Test Suiteを全て検出する。
・ICSA Labsのウイルスコレクションの90%を検出する
簡単に言うと前述のWildList+ICSA Labsの独自パターンでの検出がちゃんとできることが判定の方法ということです。
またテストは製品の形態によって分かれており、通常のデスクトップで使用する製品は手動のスキャンと常駐機能の両方で行われます。オンラインウィルス-スキャンのサービスも認証を取ることが可能で、手動スキャンだけが検査の対象となります。
デスクトップ製品のテスト結果はhttp://www.icsalabs.com/html/communities/antivirus/certification/certprod.shtmlから参照可能です。
テストの結果、承認された製品とOSが一覧で表示されています。
GrisoftのAVGもH+BEDVのAntiVirもちゃんと承認を取っているのがわかります。
ICSA labsもこの承認は「継続して安全なAnti-Virusを提供するためのプロセスです」と言っているので、一度承認が取れたからといて、安心するのではなく、継続して承認が取れるようにメーカが努力して欲しいとの目的から行われる検査です。