トレンドマイクロは2009年からウイルス対策の方針を大きく転換する。ウイルス判定をトレンドマイクロが運用管理するサーバー上で行う技術「ファイルレピュテーション」を、同社製品に順次組み込んでいく。これまでパソコン上でいかに正確に早くウイルスを検知するかに心を砕いてきたはずだが、方針を変えたのはなぜなのか。トレンドマイクロに聞いた。
ファイルレピュテーションを導入する狙いは。
当社製品をはじめ現在のウイルス対策ソフトは、パターンファイルにある情報と合致する情報があるかどうかを調べることによりウイルスを判定してきた。しかし長年の蓄積でパターンファイルが肥大化してきた。当社製でいうと2008年末時点で、2005年1月時の約21倍のサイズになっている。クライアントパソコンのディスク容量やメモリーを圧迫してしまっていた。
新種用のパターンを従来のものにマージするなどして、できるだけパターンファイルのサイズを小さくするよう工夫している。ただ、いずれ限界は来る。当社が試算したところでは、1時間あたりのウイルス出現数は07年に205件だったが、2015年にはその約150倍にあたる2万6598件になる。
そこでパターンファイルが持つ情報の75%をサーバー上に移し、スリム化する。判定作業そのものもサーバー側で実施することにした。
パターンファイル方式はもう限界なのか。
誤解していただきたくないのだが、基本となるウイルス検知技術は大きく変わっていない。クライアントから送られたファイル情報を基にしたパターンファイルによる照合を、サーバー側で実施するようになるだけだ。
それでも、パターンファイルを配信し、それをクライアント上で適用するまでの時間を大幅に短縮できる。それだけウイルスによる被害を防げると考えている。
最近ではゼロデイ攻撃も多い。サーバー側でウイルスチェックをするだけで、どこまで効果があるのか。
09年から製品に組み込む「ファイルレピュテーション」を、すでに一部製品で提供している「Webレピュテーション」「Emailレピュテーション」と組み合わせることで、より早く正確にウイルスを検知できるようになると考えている。当社が「Trend Micro Smart Protection Network」と名付けている仕組みだ。
例えばスパムに含まれていたURLに不審なプログラムをダウンロードさせるサイトがあったとしよう。スパムに掲載されていた時点で、そのWebサイトやプログラムは有害である可能性が高いことがわかる。
逆に、ファイルレピュテーションで不正なプログラムと判定したものがアップロードされているWebサイトは怪しい、との判断も可能だ。このようにサービス間を連携させることで、精度やスピードが向上する。
ファイルをウイルス判定するたびにサーバーと通信をするのであれば、これまでよりも待ち時間が増えるのではないか。
通信するといっても、それほど時間はかからない。当社内の実測値では0.5秒程度だった。しかも、テキストファイルのようにウイルスが潜む可能性がないものについては、ファイルレピュテーションは使わない。一度正常であると判定したファイルについては、その情報をキャッシュしておき、再度サーバーに問い合わせることがないようにする。
それでも待ち時間が気になるユーザー、クライアントPCの台数が多いユーザー向けに、トレンドマイクロが運用するサーバーと同様の機能持つサーバー「Local Cloud」を構築できるよう、製品を提供する計画だ。
「Local Cloud」は、パターンファイルを常時トレンドマイクロのサーバーと同期させている。このサーバーを設置することで、社内LANだけでウイルスかどうかを判定できる。
パターンファイルの75%をサーバー上に移行するとのことだが、なぜ75%なのか。すべて移行することはできないのか。
どうしてもローカル環境でウイルス判定しなければならないものがある。ファイル感染型のウイルスがその典型だ。そのため、すべてサーバー側でというわけにはいかない。
現状でウイルスバスターのパターンファイルは約100Mバイトある。それを4分の1にできるのだから、効果は大きいはずだ。
小林氏の所属,肩書きに誤りがありました。お詫びして訂正します。本文は修正済みです。 [2008/12/22 12:15]
