閉じるX

マルチスキャン

高度な脅威防止 - 複数のマルウェア対策エンジンによる同時分析

マルチスキャンは、検知率を高め、アウトブレイク検出時間の短縮、単一ベンダーのマルウェア対策ソリューションへの対応力を提供する高度な脅威検知と防御テクノロジーです。

OPSWATは、マルチスキャンのパイオニアとして、さまざまなサイバーセキュリティの脅威からお客様を強固に保護しています。単一のアンチウイルスでマルウェア/ウイルスの 40%〜80%を検知しますが、OPSWATマルチスキャンでは、オンプレミス、またはクラウドで 30種類以上のマルウェア対策エンジンでファイルをスキャンすることで、99%を超える検知率を達成できます。

課題

  • マルウェアは、単一のウイルス対策(AV)エンジンを容易に回避して、組織を危険にさらす可能性があります
  • 各 AVベンダーでは、所在する地域とフォーカスする市場の違いにより、アウトブレイクに対する応答時間も異なります
  • ウイルス検査における誤検知は、マルウェアスキャンソリューションにおける副次的な結果です
  • 複数の AVを単一のプラットフォームに統合し管理するのは困難です
  • クラウドの検知システムにファイルをアップロードすると、データプライバシーのリスクが高まります

OPSWAT マルチスキャンの利点

マルウェア検知率の向上

調査によると、マルウェア対策エンジンが追加されると、マルウェアの検知率が向上します。個々のエンジンはそれぞれ異なるカテゴリに特化しており、特定種類の脅威を検出しない場合があります。各マルウェア対策エンジンは異なるアルゴリズムを使用するため、複数のマルウェア対策エンジンを組み合わせることの有用性により、検知率が大幅に向上します。世界中のさまざまなマルウェア研究所にいるアナリストからのインプットを組み合わせることで、ローカライズされた攻撃への対応が向上します。

10,000を超える最もアクティブな脅威のマルチスキャンテストに示されているように、12エンジンの組み合わせで 90%以上の検知、16のエンジンで 97%以上の検知、20以上のエンジンで 99%以上の検知を達成しました。

アウトブレイク検出時間の短縮

マルウェアのアウトブレイク時には、新しい脅威の検知にかかる時間がとても重要です。検知率のわずかな変化でさえ、さまざまなマルウェア対策エンジンが、新たな脅威に対応するのにかかる時間に数日、数週間、または数か月を要す可能性があります。

AV-Test.orgが実施したテストでは、さまざまなマルウェア対策エンジンの検知メカニズムが、特定マルウェアの検知で、他より高速であることを示しています。複数のスキャンエンジンの結果を組み合わせることで、アウトブレイク時の露出時間を短縮することができます。

このような検知の差は、特定の脅威を検知していない単一のアンチマルウェアエンジンのみを使用している組織が、脅威に露出されるため、懸念となっています。たとえば、Nemucod.KPトロイの木馬は、2016年 3月 16日に 3つのアンチマルウェアエンジンによって最初に検知されました。2日以内に 11のアンチマルウェアエンジンがこの脅威を検知し、1週間後に 16のエンジンがこの脅威を検知しました。しかし数ヵ月後、24のエンジンがまだ Nemucod.KPの脅威を検知していませんでした。

単一または少数のアンチマルウェアエンジンを使用することによる露出の差を劇的に減らすマルチスキャンは、新たに発生したアウトブレイクを早期に検出するための有益なアプローチです。

低い誤検知

悪意がないファイルを悪意があると報告される誤検知は、マルウェア検知ソリューションの副次的な結果として表面化し、業務に悪影響を及ぼす可能性があります。さらに問題を複雑にしているのは、誤検知は一度に少数のアンチマルウェアベンダーによってしか報告されないことが多く、常に一貫しているわけではなく、テストにおいて再現性があるとは限らないことです。

多くのマルウェアベンダーがマルウェアデータ共有プログラムを介して連携しているため、誤検知率が低下します。これは、ベンダーが検知と誤検知を体系化するために協力する結果、重複するベンダーデータにより誤検知が減り、マルチスキャンの利用効果が高まります。

また、ベンダーはホワイトリスト(信頼できるファイル)データを共有しています。当社のホワイトリストデータベースには、多くのベンダーからのデータが蓄積されているため、誤検知率も低下します。

すべてのエンジンが誤検知をすることが考えられますが、2つのエンジンを使用することで誤検知の数が 2倍になると想定するのは正しくありません。マルチスキャンによる誤検知の重複は、当社のマルチスキャン調査が示すように、個々の新しいエンジンにより追加される誤検知の数を制限します。使うエンジンが増えると、誤検知の量はわずかに上がりますが、マルチスキャンを利用することによる多くの利点が、それを上回ります。

パフォーマンス強化

複数エンジンを使用したスキャンは、単一エンジンのスキャンよりも少し時間がかかりますが、当社のマルチスキャン方式は、パフォーマンスの低下を最小限に抑えることができます。アーカイブのオープンやファイル形式の検出などの冗長タスクを考慮し、各種エンジンが特定ファイル形式の脅威の検出に特化しているという点も活用します。そのため、多くのマルチスキャンタスクは、分散コンピューティング、マルチコア処理、メモリ内でのスキャンなどの方法により並列化することができます。

ベンダー問題による露出の低減

マルチスキャンを使用すると、単一ベンダーの潜在的な制限によって引き起こされるリスクを回避できます。これは、特定ベンダーが脆弱性を検出できないなどの技術的な問題、または特定地域や政府機関において運用が許可されていないなど、ビジネス上の理由もあります。

単一ベンダーに過度に依存することは困難な場合がありますが、これらの問題はマルチスキャンのアプローチによって回避されます。マルチスキャンを使用すると、ベンダーの問題が発生した場合に、問題のあるベンダーを利用環境から柔軟に削除することができます。

低い総所有コスト(TCO)

マルチスキャンにはさまざまなベンダーのマルウェア対策エンジンが複数必要になるため、費用がかかります。しかし、当社は各ベンダーと提携して、最適化したマルチスキャンエンジンのパッケージオプションにより、長期にわたって有益な総所有コスト(TCO)を提供します。私たちは、単一窓口として、マルチスキャンの展開の複雑さを軽減し、航空宇宙、防衛、ヘルスケアサービス、重要インフラ、セキュリティ企業、サプライチェーン、製造等、世界の政府機関と組織へマルチスキャンを提供しています。

OPSWATマルチスキャンにより、インシデントレスポンスの品質を高めるだけではなく、オンプレミス環境でプライベートにファイルをスキャンすることで、顧客情報の安全性を確保することができました。

Koji Tashima氏
IT Security Analyst, NRI

OPSWATが採用する世界のマルウェア対策ベンダー分布

マルチスキャンを使用する OPSWAT製品

マルチスキャンの詳細は、OPSWATの技術者にご相談ください