Windowsを使う上で悩むことの1つに「Windows Defenderだけで大丈夫?」というのがあります。
Windows Defenderとは
Windows DefenderとはWindowsに標準搭載されているセキュリティソフトの旧称です。
現在の正式名称は「Microsoft Defender」ですが、いまだに「Windows Defender」と言われることが多いです。
セキュリティソフトとはコンピューターウイルス(マルウエア)に感染していないかチェックし、もし感染していれば駆除するソフトです。
標準搭載なのでもちろん無料で使えます。
このWindows Defenderはかなり昔(Windows Vista時代)から標準搭載されているのですが正直、昔はWindows Defenderでは十分なウイルス対策ができるとは思えませんでした。
そのため、昔はサードパーティーのセキュリティソフトは必須とも言われていました。
しかし、Windows Defenderの進化により、現在ではサードパーティーのセキュリティソフトは不要では?
という状況になっています。
パターンマッチングならOSメーカーが有利?
Microsft Defenderもそうなのですが、現在のセキュリティソフトがウイルスチェックする基本的な仕組みは「パターンマッチング」です。
パターンマッチングとは既知のウイルスのパターンを準備しておき、コンピューター内をスキャンして一致するパターンを見つける方法です。
このパターンマッチングが主流である限り、OSメーカーであるマイクロソフトが開発しているWindows Defender有利かもしれません。
なぜならマイクロソフトは「Windows Update」を運用しているからです。
パターンマッチングに必要なウイルスのパターンデータ(シグネチャ、ワクチン、定義ファイルなどと呼ばれる場合もあります)を用意するためにはウイルスの情報が必要です。
多くのウイルスはWindowsやOfficeの脆弱性(ぜいじゃくせい)を突きます。
マイクロソフトはそうした脆弱性を対策した修正モジュールをWindows Updateで無料配信しています。
脆弱性を対策するためには当然、それを突くウイルスの情報が必要です。
対策の過程で収集したウイルス情報からウイルスのパターンを用意できるはずです。
そして、Microsft Defenderのパターンファイルも無料で配信されます。
それに対し、多くのセキュリティソフトはサブスクリプションです。
サブスクリプションとはソフトウエアを買い切るのではなく、1年間などの単位で料金を払ってソフトウエアを使う契約です。
パターンファイルを提供し続けなければならない以上、セキュリティソフトを買い切りにできないのは当然で、Windows Defenderのパターンファイルが無料で提供され続けるのはOS標準ならではと言えます。
パターンマッチングの問題
前述の通り、現在主流のパターンマッチングですが、問題もあります。
- 既知のウイルスしかチェックできない
- パターンファイルの更新が必要
- 更新料が必要
- インターネットに接続しないという対策はできない
- 負荷が大きい
既知のウイルスしかチェックできない
セキュリティソフトのメーカーはウイルスを発見すると、セキュリティソフト用のパターンを用意します。
逆に言えば、セキュリティソフトはパターンが用意されていないウイルスを検知できません。
そのため、パターンマッチングでチェックできるのは既知のウイルスであって、未知のウイルスは基本的に検知できません(ジェネリック検知という未知のウイルスを検知できるパターンもありますが)。
パターンファイルの更新が必要
ウイルスは日々発見され、セキュリティソフトメーカーは次々と新しいパターンファイルを用意しています。
そのため、セキュリティソフトは常に最新に更新する必要があります。
更新料が必要
前述の通り、セキュリティソフトを買い切りにするのは困難で多くのセキュリティソフトがサブスクリプション制です。
そのため、Windows DefenderやZEROウイルスセキュリティなどの例外を除き、ユーザーは更新料を払い続ける必要があります。
ZEROウイルスセキュリティは使用期限を「インストールしたパソコンが使えなくなるまで」とすることで更新料0円を実現しています。
パソコンが壊れたり買い替えたりしない限りは更新料0円で使えます。
インターネットに接続しないという対策はできない
ウイルス被害を防ぐためのとても効果的な方法として「インターネットに接続しない」というのがあります。
ウイルスの感染経路のほとんどがインターネット経由のためです。
ただ、インターネットに接続しなくてもローカルネットワークやUSBメモリなどからウイルス感染する可能性はあります。
しかし、インターネットに接続せず、セキュリティソフトでローカルネットワークやUSBメモリなどからのウイルス感染をチェックするのは難しいのです。
なぜなら、パターンファイルの更新にはインターネット接続が必要というジレンマがあるためです。
負荷が大きい
Windowsが重い、遅い原因がセキュリティソフトにあることは珍しくありません。
これはコンピューター内をスキャンして一致するパターンを見つける処理の負荷が大きいためです。
Windows Defenderもフルスキャン実行中はCPU使用率が100%近くになることは珍しくありません。
振る舞い検知だけでは無理
ウイルスチェック方法としてパターマッチングの他に「振る舞い検知」があります。
振る舞い検知とは「ウイルスのような挙動」をチェックする方法です。
振る舞い検知には以下のような特徴があります。
- 未知のウイルスに対応できる
- パターンファイル不要
- 更新料が不要
- 負荷が小さい
- 誤検知が多い
パターンマッチング特有の問題はありませんが、問題は誤検知です。
厳しく「ウイルスのような挙動」と判定すると誤検知が増えてしまいます。
判定精度を上げるために機械学習の技術が導入されていますが、現状では振る舞い検知だけでは十分なウイルスチェックはできません。
ウイルスバスターなどの定番セキュリティソフトでも振る舞い検知をサポートしていますが、基本的にはパターンマッチングと併用です。
Windows Defenderと振る舞い検知を併用する
前述の通り、Windows Defenderはかなり進化し、サードパーティーのセキュリティソフトはいらなくなりそうです。
そんな場合にはパターンマッチングのWindows Defenderに振る舞い検知方式のセキュリティソフトを組み合わせる方法が考えられます。
このような目的に使えるソフトとしてはFFRIのyaraiがあります。
通常、サードパーティーのセキュリティソフトを有効にするとMicriosoft Defenderは無効になります。
しかし、yaraiはWindows Defenderと併用できるようになっているため、Micriosoft Defenderは無効になりません。
つまり、パターンマッチングと振る舞い検知を併用していいとこ取りをしようというわけです。
コメント