2009年12月4日金曜日

クラウドベースのアンチウイルスに対する否定的な意見について

Pedro Bustamante


科学と技術の進歩にともなっては、常に批判や変化に抵抗する人々が存在しました。そしてそれは人類の歴史において何度も繰り返されてきました。
アンチウイルスの世界もその例外ではありません。我々が2004年に(現在ではメインストリーム技術となっている)振る舞い分析技術をリリースした際もそうでしたが、最近のPanda Cloud Antivirusにリリース対して、我々は多くの「抵抗」を見ることになりました。

このポストでは、私自身が知り得る限りの、これらクラウドベースのアンチウイルスに対する反対論をまとめてみました。そしてそれらに対して、何故それらの意見が、事実誤認や、単にこのテクノロジーの動作の仕組みについての理解と知識が十分でないことに基づいているのかを明らかにしていきたいと思います。

  • インターネット接続を不能にするマルウェアに対しては、Cloud Antivirusは無力である
  • クラウドベースのアンチウイルスは全てをクラウドでチェックするので時間がかかる
  • これはプライバシーの侵害である。私のファイルやドキュメントが自分のコンピューターから持ち出されるのは許せない
  • クラウドベースのアンチウイルスはオフライン時には保護してくれない
  • 結局のところオフライン時には保護の能力は下がるわけですね
  • であれば、もし私が古いマルウェアを持っていてインターネットに接続していなければ感染させることができる
  • 遅延やレスポンスタイムが心配だ
  • クラウドスキャニングというのはマーケティング上の最近のキャッチフレーズに過ぎない
  • クラウドスキャニングはアンチウイルスベンダーがシグネチャのダウンロードにかかるコストを削減するための方法でしかない
  • クラウドスキャニングはせいぜいセカンドオピニオンとしてしか使えない
(本文は下にスクロールしてご覧下さい)


インターネット接続を不能にするマルウェアに対しては、Cloud Antivirusは無力である
正確に同じことが伝統的なシグネチャベースのアンチウイルスにも起こりえます。
もし、あるマルウェアが伝統的なシグネチャベースの防御をすり抜けてあなたのPCに侵入し、インターネット接続を無効にしたとすると、もはやあなたはシグネチャをアンチウイルス会社からアップデートすることはできず、新しいマルウェアの変種に対して防御することが不可能になり、結果として伝統的なアンチウイルスは役に立たなくなります。


クラウドベースのアンチウイルスは全てをクラウドでチェックするので時間がかかる
実際には、全てがクラウドでチェックされているわけではありません。少なくともPandaが行っているクラウドスキャニングの実装においては、ローカルのPCにインストールされたテクノロジー(ヒューリスティックス、クラウド検出のキャッシュ、グッドウェアのキャッシュななど)が存在しており、かなりの割合でマルウェアの脅威や既知の悪意の無いファイルを検出することができます。これら全てのファイルに関してはクラウドでチェックされることはありません。
考えてみてください、もしクラウドベースのアンチウイルスをインストールしたとします。それ以降、毎日いったいどれだけの新しいプログラムをあなたはインストールしますか?多分それほど多くないのではないでしょうか?

一旦インストールされて以降は、PCに新たにコピーされたり実行されたりするプログラムで、さらにローカルにあるテクノロジーで判定されなかったもののみが、クラウドでチェックされます。我々のベータテスト期間中、平均してPanda Cloud Antivirusが使用した帯域は一日当たりわずか数KBでした。これは典型的なアンチウイルスが毎日のアップデートに要する帯域を下回っています。

これはプライバシーの侵害である。私のファイルやドキュメントが自分のコンピューターから持ち出されるのは許せない
これは、もっとも多い典型的な事実誤認の一つで、多分他の数社のベンダーの貧弱なクラウドスキャンの実装によって連想されたものです。少なくともPandaのクラウドスキャニングの実装においては、あるファイルが「クラウドでスキャン」される際に、それがあなたのPCから持ち出されることはなく、コレクティブインテリジェンスのサーバーにアップロードされることもありません。
実際に起きているのは、Panda Cloud Antivirusがファイルの小さなリバースシグネチャを作成し、クラウドに対してそのシグネチャをチェックさせるという動作です。また更に言うと、クラウドスキャニングの実装では、スキャンされるのは実行可能ファイル(PE)のみであり、あなたのWordやExcelのドキュメントがクラウドでチェックされることはありません。
唯一の例外的なケースは、PEファイルが疑わしいとフラグされ、かつコレクティブインテリジェンスがそのファイルのコピーを持っていなかった場合で、この場合、ファイル自身が更なる分析のためにアップロードされることになります。しかしこの場合であっても、もしあなたが希望しないのであれば、単純に製品で「コミュニティへの寄与する」のチェックをはずすことによってアップロードしないという選択をすることが可能です。


クラウドベースのアンチウイルスはオフライン時には保護してくれない
他のクラウドベースのアンチウイルスの場合はそうかもしれませんが、Panda Cloud Antivirusの場合はそうではありません。
Panda Cloud Antivirusは、コレクティブインテリジェンス クラウドサーバーのコピーをローカルキャッシュとして保持しています。このローカルキャッシュは、いわゆるin-the-wildのマルウェア、実行可能形式以外の(non-PE)マルウェアやその他の脅威を、インターネット接続無しで検出する役割を受け持っています。伝統的なシグネチャのアップデートとは異なり、このローカルキャッシュのアップデートは、コミュニティ全体がまさに今流通している(in-the-wildである)ことを認識している、いわば「移動目標」(moving target)のようなものです。したがって、これは非常に効率よく重要な脅威から保護することを可能にしています。このローカルキャッシュは、Win98やDOSのウイルス、更には既に死滅した、若しくはもはや流通していないマルウェアに対する保護は提供しません。これこそが、Panda Cloud Antivirus のコミュニティの側面が非常に重要である理由です。
皆様が使えば使うほど、よりよい保護を提供することができるわけです。


結局のところオフライン時には保護の能力は下がるわけですね
最初に、実用面から見てみましょう。Panda Cloud Antivirus は何百万人のユーザーによる7ヶ月のベータテストを終えましたが、実際にインターネットに接続していない間に感染してしまったというインシデントの記録は一件もありませんでした。
世間には、各雑誌等が行う何百万ものサンプルによる検出率の数字イコール保護のレベルそのものであるという、保護に対する万国共通の事実誤認があります。
これは真実ではありません。なぜならこれらのテストでは、死滅したマルウェア、流通していないマルウェア、もはやあなたのOS上では活動できない(DOS/Win98用のウイルス)マルウェアを含んでいるからです。もし我々が、実際に生存しており、かつ流通しているマルウェアを阻止することこそが保護であると定義できるのであれば、Panda Cloud Antivirusのオフライン時の保護のレベルは十分以上であるといえるのではないでしょうか。


であれば、もし私が古いマルウェアを持っていてインターネットに接続していなければ感染させることができる
その通りです。同様にもしあなたが治安の悪い場所を、ゴールドの腕時計やネックレスを見せびらかしながらブラブラ歩いたとすると、かなり高い確率で(少なくとも)奪われてしまうでしょう。また、クルマで200メートルの高さの断崖から、シートベルトとエアバッグがあれば命は助かると信じて飛び出すこともできます。
Panda Cloud Antivirusは、実在の人々の実生活での使用を目的に設計されました。それを知っておいていただければ、実際に普通にPCを使用する経験において、起こりそうも無いシナリオについて心配する必要はないでしょう。


遅延やレスポンスタイムが心配だ
これは、実際クラウドに対して同期型で動作するアンチウイルスのリアルタイムモニター(オンアクセススキャナー)においては、当然の不安であり心配です。
現在我々は、2種類の「タイムアウト」を製品に設定しています。最初の一つは、遅延の際にユーザーに問題を通知するもの、そして2つ目は、返答が無い限り実行をブロックするというものです。
しかしながら、この数ヶ月間の測定結果によると、98%以上のケースでオンアクセススキャナーのレスポンスタイムは1秒未満でした。 ここで知っておいていただきたいのは、一つのファイルに関するクエリーの際に往復するデータはわずか数バイトであり、結果として実際のインパクトは非常に低く抑えられているということです。


クラウドスキャニングというのはマーケティング上の最近のキャッチフレーズに過ぎない
確かに、最近は流行のキャッチフレーズになりつつあります。しかしだからといって、それがその背後で実際に役に立っていないということを意味するものではありません。数多くの異なる製品が(セキュリティ関連に限らず)、その「インテリジェンス」をクラウドに統合することで、「旧型の」「重たい」「遅い」アプリケーションから、「高速の」「常にアップデートされた」クライアントに置き換わりつつあります。
ここには、PC単体の限界に煩わされることがないという開発者側からの側面だけでなく、ユーザーにとっても、PCのリソース消費のマイナス面から開放されるという、コンピューター利用経験の改善という面から見ても、明らかなメリットがあります。


クラウドスキャニングはアンチウイルスベンダーがシグネチャのダウンロードにかかるコストを削減するための方法でしかない
その通りです。その件については我々のCFO(最高財務責任者)に是非聞いてみてください。(彼こそが、全てに非常にコストがかかるために、際立って髪が白くなってしまった唯一の人ですから.. )
冗談はさておくとして、実際には、我々にとって現存する従来型のシグネチャダウンロードのアプローチに使用されるインフラを維持するのに固執した方が、クラウドスキャニングだけのために、新たに何百万ユーロもかかるインフラを整備するよりは、はるかに安上がりでした。またこれは、初期投資だけにはとどまらず、継続したメンテナンスも必要です。そして勿論、これらには製品開発やテクノロジーの維持に必要な研究開発や、品質管理に対するコストは含まれていません。


クラウドスキャニングはせいぜいセカンドオピニオンとしてしか使えない
数年前のクラウドの初期実装段階(オンラインスキャナーや最初のクラウドのみの製品)においては、確かにそれはあたっていたかもしれません。
しかし、もはやそうではありません。少なくともPandaによる実装においては、Panda Cloud Antivirusは伝統的なアンチウイルスを完全に置き換えるものです。Panda Cloud Antivirusは両方の世界、オフライン時のローカル保護とオンライン時の最も効率の良い保護において、ベストなものを備えています。
数社の他のベンダーが、いくつかのクラウドスキャニングの能力を既存の製品に(複数のテクノロジーの組み合わせにおける追加のテクノロジーとして)加え始めている一方、Panda Cloud Antivirusは、リアルタイムの同期型モードでクラウドに対して動作するよう、全くのゼロベースから開発されました。そしてそれは、伝統的なシグネチャのアプローチを効率よく置き換えるものとし実証されつつあります。


もしあなたが、このテクノロジーに対して他の疑問点や反対意見をお持ちであれば、ぜひ私どもにお知らせください。
http://research.pandasecurity.com/

4 件のコメント:

  1. とても詳しく説明いただき安心しました
    今度はlinux Ubuntu用も用意していただければ
    うれしいです

    返信削除
  2. シグネチャベースより圧倒的に優れているという点がない。例えば、最初の項目、ネットにつなげなくなれば、シグネチャベース意味がないっていうのは、いただけない。目くそ鼻くそになってしまう。シグネチャベースでは駄目だが、クラウドでは、こうするので対策ができるというくだりがなければ、結局絵に描いた餅になってします。

    返信削除
  3. ぜひぜひUbuntuに用も用意してください。

    返信削除
  4. 是非Mac版の提供もお願いします。

    返信削除