新種のマルウェアに対し、ウイルス定義データベースが更新されるまでのタイムラグが心配です。どういう対策がありますか?

この記事をシェア

当社では、ウイルス定義データベースが更新されると、まずは情報システム部で検証してから各端末(パソコン)で更新するというフローで運用しています。そのため検証が済むまでの期間は「最新のウイルス定義データベースではない」状態になります。そのタイムラグが心配なのですが、どのような対策がよいのでしょうか?

 

A

もちろんウイルス定義データベースをいち早く最新のものにすることが望ましいのですが、最新の定義データベースの検証に時間が必要な場合もあります。ヒューリスティック機能があれば、その間も未知のウイルスから保護できます。

ご心配されているように、ウイルス定義データベースが最新のものに更新されるまでの「タイムラグ」をつかれ、未知のウイルスに感染してしまう危険性は十分にあります。

従来型のアンチウイルス製品(ウイルス対策ソフト)では、怪しいファイルを検出すると「ウイルス定義データベース」と照合してウイルスかどうかを判断します。これは「シグネチャ方式」または「パターンマッチング」と呼ばれる手法で、既知のウイルスに関しては誤検出が少ないという利点がある一方、ウイルス定義データベースを常に最新の状態にしておかないと、次々に登場する新種・亜種のウイルスを検出・駆除できません。

クライアントPCのウイルス定義データベース更新には2つのタイムラグが存在する

しかし現状では、一日に数万から数十万の新種、亜種のウイルスが登場しています。ところが新しいウイルス発見から企業内のパソコンに新しい定義データベースが適用されるまでには、2つのタイムラグがあります。1つ目はアンチウイルスベンダーが新しいウイルスに対応する定義データベースを作成、配布するまでのタイムラグ、2つ目は企業が新しい定義データベースを入手し、各パソコンに適用するまでのタイムラグです。

ウイルス定義データベースが適用されるまでの流れ

特にご質問者の会社のように、最新のウイルス定義データベースをまず情報システム部で動作検証し、確認後に社内や組織内のパソコンに適用させる場合は、2つ目のタイムラグが長くなりがちで、新種や未知のウイルスに感染するリスクが高まります。

タイムラグが発生している間でも、新種ウイルスや未知の脅威に対応できるのが、ヒューリスティック機能です。これは、プログラムの挙動からウイルスかどうかを判断する「振る舞い検知」でウイルスを検出する機能。システム内のプログラムの挙動を常時監視して、正常なプログラムには見られない不審な挙動を検出して分析し、ウイルスなど悪意あるプログラムかどうかを判定します。

タイムラグが解消されるまでのリスクを低減するには、ヒューリスティック機能が効果的

ウイルス定義データベースに頼らないため、新種のウイルスや、検出逃れを狙って大量に作成される亜種も逃さず見つけられるという利点があります。未知の脅威からシステムを保護する機能として、最近のアンチウイルス製品には、このヒューリスティック機能を搭載しているものもあります。ヒューリスティック機能を搭載したアンチウイルス製品であれば、従来型のシグネチャ方式と組み合わせた精度の高いウイルス検出が可能です。ウイルス定義データベースの更新から適用までのタイムラグにも対応できるので、より強固なセキュリティを実現できます。

特にタイムラグを心配する企業であれば、ヒューリスティック機能の性能を比較して、アンチウイルス製品の導入/乗り換えを検討してみてはいかがでしょうか。

ヒューリスティック機能について詳しくは以下の記事をご覧ください。
<ESETのテクノロジー 基礎編、技術編、性能編>

この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!