マルチスキャン

複数のアンチマルウェアエンジンによる高度な脅威防止

マルチスキャンは、マルウェアの検知率を高め、アウトブレイクの検知時間を短縮し、アンチマルウェアベンダーの課題に対する回復力を提供する高度な脅威検知・防止技術です。OPSWATは、30以上のアンチマルウェアエンジンによるファイルのマルチスキャン概念のパイオニアとして、さまざまなサイバー攻撃からの保護を強化しました。

シグネチャやヒューリスティック、そして機械学習による検知方法は完全ではありません。上のグラフの調査によると、1つのアンチマルウェアエンジンで検知される一般的なサイバー脅威は最大91.8%で、その大半は40〜80%の検知率しかありません

なぜマルチスキャンが必要なのでしょうか?

マルチスキャンの利点と制限

マルウェア検知の向上

調査によると、アンチマルウェアエンジンを追加することで、マルウェアの検知率が向上しています。それは個別のアンチマルウェアエンジンでは検知できない脅威があるためです。個々のエンジンはそれぞれ異なるカテゴリに特化しています。

各アンチマルウェアエンジンは異なるアルゴリズムを使用し、マルウェアアナリストは異なるタイムゾーン、異なる地域のラボにいるため、複数のアンチマルウェアエンジンを組み合わせることで検知率が大幅に向上します。
当社の10,000件を超える最もアクティブな脅威のマルチスキャンテストで示されたように、12のエンジンで95%以上、16のエンジンで97%以上、20以上のエンジンで99%以上の検知率を達成しました。

アウトブレイクにさらされる時間を短縮

マルウェア発生時は、新しい脅威を検知するのにかかる時間が非常に重要です。わずかな検知率の差でも、さまざまなアンチマルウェアエンジンが新たな脅威に対応するのにかかる時間を数日、数週間、または数ヶ月にも及ぶ可能性があります。

AV-Test.orgが実施したテストでは、さまざまなアンチマルウェアエンジンで使用されている検知メカニズムは、他のエンジンに比べて特定のマルウェアの検知速度が速いことを示すテストを実施しました。マルチスキャンエンジンの結果を組み合わせることで、アウトブレイクにさらされる時間を短縮し、実質的にゼロの露出を達成します。

このような検知の差は、特定の脅威を検知していない単一のアンチマルウェアエンジンのみを使用している組織を公開しているため、懸念の原因となっています。たとえば、Nemucod.KPトロイの木馬は、2016年3月16日に3つのアンチマルウェアエンジンによって最初に検知されました。2日以内に11個のアンチマルウェアエンジンがこの脅威を検知し、1週間後に16個のエンジンがこの脅威を検知しました。しかし数ヵ月後、24のエンジンがまだNemucod.KPの脅威を検出していませんでした。

1つまたは少数のアンチマルウェアエンジンを使用することによる露出のギャップを劇的に減らすマルチスキャンは、新たに発生した実際のアウトブレイクを早期に検知するための有益なアプローチです。

ベンダー問題による露出の低減

マルチスキャンを使用すると、単一ベンダーの潜在的な制限によって引き起こされるリスクを回避できます。これは、技術的な制限のために特定ベンダーが脆弱性を検知できないなどの技術の問題、または特定地域や政府機関において運用が許可されていないなど、ビジネス上の理由もあります。 例えば、

単一ベンダーに過度に依存することは困難な場合がありますが、これらの問題はマルチスキャンアプローチによって回避されます。 マルチスキャンを使用すると、ベンダーの問題が発生した場合に、問題のあるベンダーを利用環境から柔軟に削除することができます。

低い誤検知 (1 + 1 < 2 )

悪意がないファイルを悪意があると報告される誤検知は、マルウェア検知ソリューションの副作用として表面化し、業務に悪影響を及ぼす可能性があります。さらに問題を複雑にしているのは、誤検知は一度に少数のアンチマルウェアベンダーによってしか報告されないことが多く、常に一貫しているわけではなく、テストにおいて再現性があるとは限らないことです。

多くのマルウェアベンダーがマルウェアデータ共有プログラムを介して連携しているため、誤検知率が低下します。これは、ベンダーが検知と誤検知を体系化するために協力する結果、重複するベンダーデータにより誤検知が減り、マルチスキャンの利用効果が高まります。

また、ベンダーはホワイトリスト(信頼できるファイル)データを共有しています。当社のホワイトリストデータベースには、多くのベンダーからのデータが蓄積されているため、誤検知率も低下します。

すべてのエンジンが誤検知をすることが考えられますが、2つのエンジンを使用することで誤検知の数が2倍になると想定するのは正しくありません。マルチスキャンによる誤検知の重複は、当社のマルチスキャン調査が示すように、個々の新しいエンジンにより追加される誤検知の数を制限します。使うエンジンが増えると、誤検知の量はわずかに上がりますが、マルチスキャンを利用する多くの利点が上回ります。

パフォーマンス向上( 1 + 1 < 2 )

複数エンジンを使用したスキャンは、単一エンジンのスキャンよりも少し時間がかかりますが、当社のマルチスキャン方式は、パフォーマンスの低下を最小限に抑えることができます。アーカイブのオープンやファイル形式の検出などの冗長タスクを考慮し、各種エンジンが特定ファイル形式の脅威の検出に特化しているという点も活用します。そのため、多くのマルチスキャンタスクは、分散コンピューティング、マルチコア処理、メモリ内でのスキャンなどの方法により並列化することができます。

低い総所有コスト(TCO)

さまざまなベンダーのアンチマルウェアエンジンが複数必要になるマルチスキャンでは、コストが要因となります。しかし、当社は各ベンダーと提携して、最適化したマルチスキャンエンジンパッケージを提供し、長期にわたって有益な総所有コスト(TCO)を提供します。航空宇宙、防衛、ヘルスケアサービス、重要インフラ、他のセキュリティ企業、サプライチェーン製造等、ほぼすべての政府機関と組織のグローバルなお客様へ、単一窓口として機能することにより、マルチスキャンの展開の複雑さを軽減しています。

マルチスキャンを使っているOPSWAT製品