OPSWAT Metascan で採用するマルウェア対策エンジンの評価内容

OPSWAT Metascan は、複数のマルウェア対策エンジンで、同時にファイルをスキャンすることで、既知のマルウェアを検知する可能性を最大限に高める、高度な脅威検知と防御技術です。単一のマルウェア対策エンジンのマルウェア検知率は 40%~80% です。一方で、 Metascan では、サイバーセキュリティの専門家が、オンプレミス( Windows と Linux に対応)とクラウド( MetaDefender Cloud )で、実績のある 30 種類以上のマルウェア対策エンジンでファイルをスキャンすることで、 99% 以上の検知率を達成します(弊社レポートをご参照ください)。当社のソリューションは、検知率を高め、アウトブレイク検出時間を短縮するだけでなく、単一ベンダーのマルウェア対策ソリューションに対するレジリエンシを高めます。OPSWAT MetaDefender Core の重要なソフトウェアモジュールの 1 つである Metascan を継続的に強化するために、効果的なウイルス対策(AV)プロバイダーを、審査プロセスを通じて、エンジンサプライヤーリストに追加しています。より巧妙になるサイバー犯罪からお客様を守るために、マルチスキャンソリューションに参加していただく新しいセキュリティパートナーを常に探しています。本ブログでは、Metascan にエンジンを追加する際のマルウェア対策エンジンの技術審査プロセスについて説明します。

評価プロセスは、パッケージ要件の検証、サードパーティ製コンポーネントのチェック、迅速な統合、自動化テストの 4 つのフェーズに分かれています。

評価の第一段階は、SDK(ソフトウェア開発キット)パッケージの要件検証です。30 種類以上の主要なマルウェア対策エンジンを統合してきた経験をもとに、標準的でシンプルな要件を導き出しました。

  • 統合を円滑に進めるために、SDK パッケージは C または C++ インターフェースである必要があります。通常、CLI(コマンドラインインターフェース)によるスキャン処理には、初期化(データベース全体の読み込みを含む)、スキャン、開放処理(deinitialization)の3つのステップがあります。このプロセスは、スキャンするファイルごとに発生するため、スキャン処理が遅くなります。一方、C++ による統合では、システムは一度だけ初期化し、スキャンするファイルの受信を待ちます。システムの開放処理は、製品サービス全体を終了するときにだけ行います。
  • 要件を満たすエンジンは、小さなパッケージで、配信を容易にするために、エンジンモジュールファイルと定義ファイルを別々に持ち、意図しない更新がされないようにします。
  • さらに、私たちの製品は、エアギャップ環境を持つ多くの重要インフラ業界に導入されているため、提供するエンジンは、オフラインで定義ファイルを更新できる必要があります。
  • お客様に高度な脅威防止ソリューションを提供するために、新たに追加されるマルウェア対策エンジンには、スレッドセーフ、高スループット、そしてインストール処理のないスタンドアロン SDK などの要件が必要です。

パッケージ要件がすべて満たされている場合、パッケージのコンプライアンスを検査する第二段階の評価に移ります。すべての脆弱性やライセンス問題を検出するために、サードパーティのツールでスキャンします。問題が見つかった場合、評価プロセスを継続せずに、AV ベンダーに解決を依頼します。

要件の3番目のフェーズは、エンジンがシームレスに統合され、スムーズに動作するかを確認する統合チェックです。サンプルコードや統合ガイドに基づき、初期化やスキャンなどのごく基本的な機能からスタートします。その後、EICARアンチウイルスのテストファイルとクリーンファイルをスキャンして、統合が正しく行われていることを確認するクイックテストを実施します。データのセキュリティ管理のため、テスト中にネットワーク監視プログラムを活用し、エンジンが自社サーバーにデータを送信しないことを確認します。

さらに、当社は、スループット、メモリリーク、CPU 消費量、スレッドセーフなどの性能指標を測定する、包括的なテストフレームワークを開発しました。下の図に示すように、シングルスレッドとマルチスレッドスキャンの、2 つのシナリオでテストを実行します(今回のテストでは 20 スレッド)。性能測定により、ウイルス対策エンジンがスキャン中に発生したエラーや問題を、特定することができます。

当社は、既知の悪意のあるファイルと安全なファイルを含む何千ものサンプルファイルを、評価中のエンジンでスキャンして、検知率(偽陽性と偽陰性)を測定します。また、このフレームワークでは、マルウェア対策エンジンのフットプリントを監視し、潜在的なメモリリークや、必要以上の CPU 消費量を検出します。例えば、上記のテストデモでは、4つの異なる検査でメモリ使用量が増加しており、メモリリークの可能性があることが判明しています。同様に、テストの結果、エンジンのスループットやスキャン処理中の障害も明らかになり、ログを記録し更に調査します。

続いて、膨大なデータセットで1日実行するストレステストを実施し、マルウェア対策エンジンの性能と安定性を更に調査します。統合テスト環境は、Docker コンテナで構築します。この段階で問題が見つかった場合は、テスト環境の一貫性を保つために、AV ベンダーに、テストコンテナも併せて問題を共有します。

マルウェア対策エンジンの統合とパフォーマンスを慎重に評価し、厳格なテストをすべてクリアした場合、Metascan との正式な統合を展開します。パートナーシップ契約を確認し、新しいマルウェア対策エンジンの追加を、お客様に発表します。

私たちのきめ細かいマルウェア対策エンジンの評価プロセスは、万全で、ダイナミックかつ効率的なセキュリティ製品をお客様に提供することを確保するためです。また、日々高度化するサイバー攻撃からお客様を守るために、テクノロジーパートナーとの緊密な協力関係を確立しています。私たちは、マルチスキャンソリューションに参加していただける新しいエンジンサプライヤーを常に探しています。OPSWAT とのパートナーシップについては、お気軽にお問い合わせください。

Sign up for Blog updates
Get information and insight from the leaders in advanced threat prevention.