アンチウイルス防御性能試験
高速 国際回線のVPN爆誕! WireGuardで低延滞

アンチウイルス
防御性能試験

【背景】
ゼロトラト・セキュリティモデルのPC Matic PROは単体でも他社AVエンジンと併用することも可能な設計となっています。顧客企業より、どのAVエンジンと併用するべきかとの助言を求められることが多いため、参考資料として毎日更新している資料です。

セキュリティベンダー各社が新種マルウェアをBLOGなどの形で情報公開しますが、それらの情報にIoC(Indicator of Compromise)という形で、システムがサイバー攻撃を受けた際に残る様々な詳細指標を記載します。「侵害指標」や「セキュリティ侵害インジケーター」と呼ばれることもあります。

新しいマルウェア検体を入手した際にセキュリティベンダーは、自社のマルウェア分析チームが解析にあたりますが、その際に他社感染状況を調査する過程において、VirusTotalと呼ばれるGoogleが運用する数十に及ぶブラックリスト方式のアンチウイルスエンジンによる検出試験に検体をアップロードすることが良くあります。

【作成手法】
本試験では、IoCに記載されたファイル(バイナリー形式およびファイルレスマルウェアは、bat, ps1, vbs等)のハッシュ値をVirusTotalにて検索し、その結果でマルウェアに判定している際に「1」とし、not detectedとして起動を許可してしまったものを「0」として統計しました。いずれにも該当しない際はブランクとしています。

アプリケーション・ホワイトリスティング 2.0方式のPC Maticでは、グローバル・ホワイトリストにて善良と判定され、ファイル実行を許可している際は「0」。それ以外は起動が許可されないため「1」としています。

Windows標準よりも低い防御コスアである場合は、入れない時よりも防御能力が低下することを意味しているため、エクセルにて自動的に赤色表示にしています。

【試験掲載対象】
本試験は、日本で入手可能なブラックリスト方式のセキュリティエンジンのエンドポイント保護製品(EPP)をVirusTotalにて対象としており、EDR製品はマルウェア検出を目的としていないため対象外としています。また、ゼロトラト・セキュリティモデルとして推奨されるホワイトリスト方式はVirusTotalの掲載対象外です。

macOS, Linux, Androidに関するBLOGも公開されることがありますが、世の中のサイバー攻撃の主戦場はWindowsであり、企業が業務で用いるプラットフォームもWindowsが多いため、Windowsのみを対象としたサンプルを抽出し、レポートとしています。

【PDF,XLSの使い方】
経過日数は、VirusTotalへセキュリティベンダーがアップロードしてからの経過日数。マルウェア名称をクリックするとセキュリティベンダーが発表した、参照元の記事にとびます。XLSX形式をダウンロードして自分で並び替えもして頂けます。

【経過日】
現在、1週間以上継続して同じハッシュ値をもつマルウェアによるサイバー攻撃は少ないため、1週間以内に検出し防御することが大切です。

但し、高度なマルウェアに関してはセキュリティベンダーが、VirusTotalにアップロードしてからレポートを公開するまで時間を要することが多く、本試験結果においては全期間の検出率も指標として重要となります。

各セキュリティベンダーは、VirusTotalを通じてマルウェア検体を1週間やそれ以上の時間を経過してもマルウェアとして検出できていないことは、新たなマルウェアに顧客企業が遭遇した際、長期間の活動を許す結果となります。基本0日で防御しなければ意味がないと考えるのがゼロトラト・セキュリティモデルにおける戦略です。

VirusTotalを用いた
AV性能比較試験

検出率スコア。

PDF XLSX

上記の魚拓

PDF PPTX

AV-TEST ATP試験

AV-TEST社は長く続く無意味な定期試験とは別に、実際に最近行われたサイバー攻撃をMITRE ATT&CK手順にて再現し、防御能力を測定しています。試験結果は他社製品も含め全参加ベンダーに引き渡され、一般公開情報よりも多くの参加ベンダーの実際の試験結果を得ることができます。


試験結果が芳しくなかった際には、一般公開される試験結果へ非掲載(試験費の返金なし)とすることができます。厳しい試験であるため参加企業は少なく、また結果に満足できず非掲載を選択するベンダーがあります。歯抜けになっているのはその為です。


但し、本試験も最新の標的型マルウェア検体であるといっても、2~3ヶ月経過した検体であり、マルチステージのうちどこかで防御すればよいスコアを得られます。このため完全に防御できて当たり前の試験方法となります。


検出率スコア。

PDF XLSX

AV-Comparatives, AV-TESTによる昔からの参加ベンダーが多い定期試験は、顧客企業へ年間賞を与えるための試験であり、実際の検出・防御性能を表しているものではありません。検査検体数は多くありますが、その95%以上は前回までの試験に利用された検体であり、新規追加分は5%に満ちません。「全員1等賞」を目的とした試験で、このことは近年では広く知られてきています。このため、AV-TESTは、ATP試験を今後の主力とするべく、試験頻度を上げ、いままでの試験の実施頻度を下げてきています。


For Home & SOHO

家庭 & 個人事業主

10年以上、数百万の家庭で利用されています。家族の端末を今すぐ保護しましょう。
セキュリティ対策、詐欺対策を統合しています。 (30日間 全額返金保証)

個人版

For Business & Government agencies

企業 & 政府機関

PC Matic Pro は、端末保護(EPP,EDR)に加え、端末管理に必要な遠隔運用監視を統合しています。
ベンチャー企業から、大企業・政府までスケーラブルに対応可能です。 (30日間 無償検証可)

法人版