- LANSCOPE サイバープロテクション トップページ
- 専門家インタビュー|MOTEXにおける CylancePROTECT 導入のわけ
専門家インタビュー
MOTEXにおける
CylancePROTECT®
導入のわけ
既知の検体、未知の検体ともに
半年前のエンジンで100%の検知率
MOTEXはCylancePROTECT®を2015年12月に導入。ただ初めてCylanceの情報を聞いた際には“悪意のあるソフトウェアや悪質なコードといったマルウェアを含めて99%以上の検知率”という謳い文句は、正直胡散臭いなと感じたことが正直な感想でした。
きっかけは世間で話題になった
大規模な個人情報漏えい事件
2015年、世間ではサイバー攻撃による大規模個人情報漏えい事件が取り沙汰されていました。そのため、エムオーテック株式会社でも、このことをきっかけにセキュリティ対策の見直しに動き出しました。Cylance社はAIの検知率実証のために、従来型のAVSとの検知率比較を行うライブデモイベント・アンビリーバブルツアーというのをアメリカで行っていました。このイベントを通して、CylancePROTECTは検知能力を証明し、シェアを伸ばしてきたわけですが、その実績が本当なのか?裏取りをするため、数社の製品と比較検証を行いました。
▼MOTEXが行った検証結果
(2015年11月時点:製品A~Dは最新バージョン、Cylanceは検証日から半年前のモデルで検証)
(2015年11月時点:製品A~Dは最新バージョン、Cylanceは検証日から半年前のモデルで検証)
製品名 | ウイルス検知率 (118種) |
難読化ウイルス 検知率 (118種) |
---|---|---|
製品A | 95.8% (113/118) | 15.0% (15/100) |
製品B | 96.6% (114/118) | 6.0% (6/100) |
製品C | 97.5% (115/118) | 7.0% (7/100) |
製品D | 100% (118/118) | 11.0% (11/100) |
製品E | 11.9% (14/118) | 95% (95/100) |
製品F | 97.5% (115/118) | 33.0% (33/100) |
プロテクトキャット | 100% (118/118) | 100% (100/100) |
- 【検証内容】
- ・検知に利用した検体は下記より入手
- 1.ウイルス情報サイトVirusTotalよりその日登録されたウイルス100個入手
- 2.難読化は上記の検体に対して、パック処理の実施
- 3.実際にメールで届いた検体や複数のサイトから入手した検体 18個を用意
- 合計118個の検体を元に検証を実施
- ※ 実際に検体の入手から検証までには3~5日経過
- ・検証環境について
- Windows 7 Professional 32bit or 64bitのPC7台。
- それぞれに1アンチウイルスソフトをインストール(最新のWindows Ulidateを適用済み)
- アンチウイルスソフトは2015年11月時点の最新パターンファイルで検証
- ・検証方法について
- Autoスキャン、もしくはカスタムスキャン(フォルダスキャン)を適宜使用
- ※検体を実行しての検知は今回の結果には含めない
- ※Cylanceのみ未知のマルウェア検知有効性確認の為、半年前のエンジン使用
亜種に対して圧倒的に
高い検知率を確信
VirusTotalに登録後3〜5日の検体はどの製品も9割以上検知しました。ここまでは想定どおりでしたが、驚いたのは作成した亜種の検知率の差です。従来のシグネチャ型製品では、亜種の検知率は高いものでも3割程度。ほとんどのマルウェアがすり抜けていました。でも、驚くことにCylancePROTECT®に関しては既知の検体、未知の検体ともに半年前のエンジンで100%の検知率だったんです。
この検証結果のインパクトは大きく、ゼロデイのマルウェアを高確率で検知することができ、マルウェア感染リスクを最大限減らせるということで、数ある対策の中から最優先でCylancePROTECT®の導入が決まりました。