セキュリティソフトのテスト手法標準化団体[AMTSO]の果たす役割とは　G DATA ウイルスラボ所長ラルフ・ベンツミュラーインタビュー

特集特集

2008年4月10日（木） 17時15分

セキュリティ対策ソフトのテスト手法を標準化するための業界団体「Anti-Malware Testing Standards Organization（AMTSO）」が2月4日に設立された。世界の主要なセキュリティベンダーが参加し、その中には、ドイツのG DATA Software社もあった。今回、G DATA Software ウイルスラボ所長ラルフ・ベンツミュラーに現在のテストの問題点や今回のAMTSO参加について聞いた。

─今回、AMTSOにG DATA Softwareが参加した動機は何でしょうか。

過去5年間、マルウェアの世界は劇的に変化しています。この間、スパイウェア、ボット、リサイクル可能なマルウェア、「ドライブバイ」型など、PCユーザとシステム管理者に対して新たな脅威が生じてきました。にもかかわらず、セキュリティソフトのテストの評価基準はほとんど変化がなかったのです。その結果、マルウェアの活動とテスト内容との間には、ギャップが生じていました。AMTSOが提供しようとしている、PCセキュリティ業界とテスト機関の両専門家による協力体制は、両者のギャップを中立にするような橋を架けることができるでしょう。それゆえに、この団体にG DATA Softwareが参加し貢献することを誇りに思います。

PCセキュリティ製品のテストは非常に複雑なものです。テストを信頼に足るようにするためには、製品の特定の保護技術に依存しないことと、最新のマルウェアの脅威状況を反映することが必須です。しっかりとした方法論を持ち、客観的かつ再現可能な方法で実行されるならば、その結果は誰もが参照できるものとなり、とても重要な指標となるでしょう。テストを行う側とテストを依頼する側に関しましては、得られた結果を即座に、そして安価に提供することが望ましいでしょう。

─具体的に、どのような点が、これまでのテストの問題点なのでしょうか。

まずお断りしておきますが、私は、特定のテスト機関を非難したいわけではありません。しかし、過去に、いくつかのテストにおいては、ウイルスの採集方法に問題があったことも事実です。

ウイルスの数は膨大です。しかも、今も増え続けています。すべてのウイルスをテストするということは事実上不可能なので、テスト機関はそれぞれ採集方針をたてるのです。たとえば、過去5年間まったく活動のないウイルスは除外する、検体リストの数を100万から150万の範囲に絞る、採集期間を1ヶ月間とり採集後すぐにテストを実施する、といったようにです。

特に、採集期間が短く、しかもテストとの間隔があいてしまうようなやり方をすると、新種の危険性の高いウイルスをテスト対象に組み込めません。いかにも客観的な評価に見えても、それがユーザーにとって実際の危険性を確かめるデータになっていない、という事態が起こっているのです。これでは、テスト結果は机上の空論になってしまいます。

ですから、AMTSOの設立によって、テスト機関は最高の方向でテストができ
るようになるのではないかと期待します。

また、実際に感染報告があったウイルスをもとに整理した「ワイルドリスト」というものがボランティア組織の手によって作成されていますが、現在ワイルドリストは、ワームと狭い意味でのウイルスの二種類だけで成り立っています。そして有名なテスト機関（誌）の半数、たとえばVirus BulletinやSecure Computing誌、Virus TestCenterなどは、このワイルドリストに基づいてのみ、テストを行っています。しかしご存知のように、今日問題となっているのは、トロイの木馬型ウイルスです。数としても、ウイルスとワームをあわせたものの数倍はあります。これがワイルドリストに含まれていないのは問題の一つだと思います。

─具体的に新しいテスト基準とは、どういうものが望まれますか。

AMTSOは、2月に設立し、立ち上がったばかりです。目標として掲げているのは、「アンチマルウェア技術をテストする際の客観性、品質と妥当性を向上させる」ことです。各社の思惑を優先せずに、ユーザーにとって必要な基準をフェアにつくりあがることを希望します。とはいえ、具体的な結果が出るまでには少し時間を要するでしょう。

─ベンダーと製品と技術のギャップを埋める意義について、具体的に説明してください。

昨年1年間だけで、随分とウイルスの状況は大きく変化し、それに伴い検出の技術も変化しています。検体（シグニチャ）に基づいた検出は、もはや唯一の検出手段ではなくなりました。今や、さまざまな技術的構成要素を用いており、振る舞いを分析し、その結果、検出するような手法もよく用いられています。独自の手法でウイルスの挙動を追いかけ、検出したりブロックするベンダーもいます。

検体をもとにしたパターンマッチングだけに特化してテストしても、それはあるベンダーA社にとって良い結果になるだけです。ベンダーB社が振る舞い検知技術に力を入れているならば、B社はまったくパターンマッチング技術を必要としないかもしれないのです。ですので、個々のテクノロジー、製品とベンダーからきちんと独立して提案を出すことが、重要です。

─立ち上げのメンバーは主に欧米のベンダーが中心になっているようですが、今後はアジア圏も含みますか？

最初から国境の制限を設けてはいないはずです。各国のベンダーにも声をかけているので、今参加していないベンダーでも、将来参加するところはあると思います。

【執筆：編集部】

【関連リンク】
AMTSO公式サイト
http://www.amtso.org/
G DATA Software
http://www.gdata.co.jp/

《ScanNetSecurity》