セキュリティソフトの誤検知・過検知は大変

今回ご紹介するのは、セキュリティソフトの誤検知・過検知にまつわるお話です。

ある企業のIT担当者であるFさんは、元々別の部署からの異動でひとり情シスに任命されました。
Fさんは前部署の中では比較的若く、PCや業務ソフトの使い方を教えるだけでなく、VBSなどを使った業務ツールを自作までしていました。
そしてそれが経営層の目に留まり、情シスに抜擢されたそうです。
元々IT専門家としての知見がないFさんは、わからないことがあるとネットで調べつつ、トライ&エラーで業務を進めていました。
しかしその方法ではどうしても解決せず、Fさんを日々困られていた事象がありました。

それが今回のメインテーマである、「セキュリティソフトの誤検知・過検知」です。

「これさえ入れれば安心！」のように紹介されていたセキュリティソフトを社内に導入して以降、毎日のように大量の検知アラートが届きます。
元々情報セキュリティに明るくないFさんでしたが、セキュリティソフトの検知アラートの内容を判断することは、他の業務に輪をかけて困難でした。
ネットで一生懸命調べても結局内容もろくにわからず、雰囲気でOKかNGかを判断する日々が続きます。

そしてある時、事件が起きました。
その企業の大切な業務を支える共有端末で、セキュリティソフトがウイルスを検知します。
しかしFさんにはそれがウイルスなのか誤検知なのかがわかりません。
実は、Fさんがこれまで「誤検知」と判断してきたのは、主に業務用で使っている様々なソフトでした。
近くにいた業務担当者は端末内のソフトについても詳しかったため、今回検知したファイルが業務用のソフトでなさそうであることを聞けました。

Fさんはこう指示します。
「念のため消しちゃいましょう」

そしてファイルを削除したとたん、業務用端末は二度と起動しなくなりました。

実際ここまでの大事になっていなくても、「セキュリティソフトの過検知で稼働がとられる」「検知したのがウイルスなのかそうでないのかの判断が難しい」という悩みを持つ方は数多くいらっしゃるのではないでしょうか。

例えばMorphisecというセキュリティソフトでは、このような誤検知・過検知に悩まされることがありません。
あまり多くのリソースの割けないひとり情シスだからこそ、検出率の高さや機能の多さだけではなく、運用のしやすさなどの軸でセキュリティ製品を選んではいかがでしょうか。