「伝統的なアンチウィルスベンダーの製品は、今日ではマルウェアを検出するのに効果的ではない」

次世代ファイアウォールベンダーである米パロアルトネットワークスの創業者兼CTO、ニア・ズーク氏は、2013年10月16日に都内で開かれたプレス向けラウンドテーブルで、アンチウィルスベンダーをこう斬ってみせた。

ズーク氏がその証拠として挙げたのはまず次の数字だ。「我々が検知できているマルウェアの70％は、他のアンチウィルスベンダーでは検知できていない」

トップ5のアンチウィルスベンダーにおける未知のマルウェアへの対応率

パロアルトネットワークスは、WildFireというサンドボックスソリューションを提供している。これは、シグネチャのない未知のマルウェアを、隔離されたサンドボックス環境で実際に実行することで、マルウェアかどうかを判定するソリューションだ。WildFireでは、あるパロアルトユーザーで未知のマルウェアを発見してから、他のパロアルトユーザーにシグネチャを配信するまで「30分かからない」という。

また、ズーク氏は、もう1つこんなデータも紹介した。「我々が検出してから1週間経っても、そのうち40%のマルウェアは、他のアンチウィルスベンダーでは検出できていない」

アンチウィルスベンダーが効率的にシグネチャを作れない2つの理由

このようにアンチウィルスベンダーを批判してみせたズーク氏だが、シグネチャベースのマルウェア検出自体を否定しているわけではない。「“シグネチャはもう役に立たないのでは”と言われることもあるが、そうではない。リアルタイムに高速に対処できるのは唯一シグネチャだ」

サンドボックスの場合、実際にソフトウェアやコードを実行してマルウェアかどうかを判定するため、リアルタイムには検知できない。

ズーク氏が未知のマルウェアを検知できないことより問題視するのは、パロアルトが発見したマルウェアの40%に1週間後も未対応などの事実に象徴される、迅速ではないシグネチャ作成だ。「これがシグネチャの評判を落としている」

パロアルトと比べて、伝統的なアンチウィルスベンダーのシグネチャ作成が効率的でない理由は2つあるという。

1つは、人的リソースに頼りすぎていること。「例えば、あるベンダーは、フィリピンの安い労働力を何百人も使って、マニュアルをもとにマルウェアの検出を行っている」。一方、パロアルトは「データセンターで、コンピュータソフトウェアを使ってマルウェアを検出している」という。

もう1つは、顧客からの圧力である。「アンチウィルスベンダーは、顧客からの圧力を十分に感じていないのではないか。アンチウィルス製品のユーザーは、今のベンダーにリクエストを出すより、他のベンダーに乗り換えた方がいいと考えている」

通常のマルウェア、未知のマルウェア、C&Cサーバーとの通信など、すべてに対応しているのは次世代ファイアウォールだけとズーク氏

さらにズーク氏は、ポートベースの従来型ファイアウォールやIPS、標的型攻撃専用のソリューションなどでは脅威の一部しかカバーできないが、「パロアルトの次世代ファイアウォールなら、すべての領域をカバーできる」と強調。同社の次世代ファイアウォールが最良の選択肢であるとアピールした。