ウイルス対策ソフトのリアルタイムスキャンと定期スキャン、マニュアルスキャンの動作の違いについて調べてみました。というのも、インフラエンジニアを長くやっていますが、定期スキャンを実施していないところがあったり、ファイルを都度、マニュアルスキャンしている人がいたり、ウイルス対策ソフトの扱いが企業や人によって全然違うからです。
当然ながら、定期スキャンは使用しているというところもあるかもしれませんし、当たり前になっているなら、それを使わないなんて怖くてできないと考えている人も多いかもしれません。
では、まず気になるのは動作は一緒なのでしょうか。それとも異なるのでしょうか。ちなみにセキュリティメーカーによって、この名前は色々とあります。
定期スキャン、スケジュールスキャン、そして、人の手で実施する場合は手動スキャン、マニュアルスキャンですかね。
まず、分かりやすいのがトレンドマイクロの説明です。
Q&A | Trend Micro Business Support
「リアルタイム検索 / Scannow / 手動検索 / 予約検索の違い/ 運用例を教えてください。」という質問に対して、
リアルタイム検索
リアルタイム検索では、コンピュータ内で発生する" 読み込み " / " 書き込み "など何らかのファイルアクセスを監視し、検索しています。
したがって、コンピュータ内に存在する全てのファイル(使用していない、眠っているファイル)まで、常に検索し続けている訳ではありません。
手動検索
コンピュータ上に存在するファイル(使用していない、眠っているファイルも含む)を検索する検索方法です。
検索を実施するタイミングをコンピュータを使用するユーザ側で決めることができます。
[運用例]
コンピュータの使用者が気になったタイミングで検索を実行できます。
リアルタイム検索と異なり、使用されず眠ったままだった過去に作成したファイルも検索されます。
「リアルタイム検索」と併用して運用に組み込むことで、セキュリティレベルをより向上できます。
予約検索は言わずもがななので、説明しません。
ということで大きな違いは、リアルタイムスキャンは動きのある動的なファイルのチェックをしてくれます。なので、インターネットからダウンロードしてきたファイルなどもそうですね。
一方で、定期スケジュールスキャン、マニュアルスキャンは静的なファイル。つまり、I/Oがはしっていないファイルを検査してくれます。何が重要かというと、ウイルス対策ソフトのパターンファイルはいたちごっこであり、すべてのマルウェアに対応できていないということです。
今の時代、マルウェアの作成スピードに追い付けず、見逃してしまうパターンもゼロではありません。なので、過去見つからなかったものが、定期スキャンでヒットする可能性があります。
そういった意味で、リアルタイムスキャンだけを使用するというのはリスクが増えるわけなので、メーカーは当然、推奨しません。
その他、製品によっては圧縮ファイルの中身はチェックするしないなどの機能差もあるかもしれませんので、細かい動作は設定を確認してみてください。
ただ、以前から言われている通り、ウイルス対策ソフトがすべてのウイルスを検知できるわけではないので注意が必要です。その為、今の時代は、IPS、IDSなどを組み合わせて多重防御をしています。
後は、危険なサイトにアクセスしないことと、大手企業の場合は、とても巧妙にメールなどで攻撃してくることがあるので、普段からの訓練なども重要になってきますね。
ちなみに、、、実際にランサムウェアに感染した例なども聞いたことがありますが、いつの間にか情報漏えいしていたなんて事になると大惨事なので、システム側だけでなく、普段からセキュリティ教育もしておくことが大切だと思います。