pr

＠IT編集部の3人が最新版を楽しんでみた Symantec Endpoint Protection 11.0 MR3が 実現した、 安全で快適なクライアントセキュリティ

PCへの導入が必須であるセキュリティ対策ソフト。安全であるために利便性を犠牲にしなくてはいけないという諦めは、もはや無用だ。Symantec Endpoint Protection 11.0にメンテナンスリリース3を適用すると、PCの起動速度や使用メモリ量が大きく改善するという。ならば、実際に体験してみようと＠IT編集部3人がSymantec Endpoint Protection 11.0に挑んだ。

セキュリティ対策ソフトをインストールすると 　重くなって耐えられないというのは過去の話？

　企業のPCにウイルス対策ソフトなどのセキュリティ製品を導入することが当たり前となって久しい。社員のワークスタイルが多様化するにつれて、インターネットVPNやモバイルネットワークなどを活用したノートPCの社外利用も一般的になっている。

　ところが、セキュリティ製品には「PCの起動時間が長くなる」「ファイルを開いたり、アプリケーションを立ち上げたりする動作が重くなる」といったマイナスイメージを抱くユーザーも少なからず存在する。安全であるために、利便性を犠牲にする。ほんの数年前までは、それは仕方がないものとして受け入れられてきた。

　しかし、2007年10月に登場した、Symantec Endpoint Protection 11.0（以下、SEP 11.0）は、セキュリティ対策ソフトの新しいステージを目指すべく、安全性と快適性を両立させたという。はたして、安全と快適は共存できるのだろうか。＠IT編集部のスタッフ3人が、SEP 11.0の最新版（メンテナンスリリース 3、以下、MR3）と、同ソフトウェアの1世代前の製品だったSymantec Client Security 3.1（以下、SCS 3.1）を使い比べてみた。

その名のとおりエンドポイントを守るSEP 11.0

　2つのシマンテック製品の比較の前に、SEP 11.0が備える機能を簡単におさらいしておく。

　今日のエンタープライズ向けセキュリティ対策製品では当然のことであるが、求められるのはウイルス対策だけではない。スパイウェアやルートキットと呼ばれる悪意のあるソフトウェアへの対応、OSやアプリケーションの脆弱性を狙ったネットワーク攻撃からの防御、外部デバイスの接続制御やアプリケーションの実行／アクセス制御などによる情報漏えい対策なども挙げられる。

　これらの脅威は、めまぐるしく手法を変えるため、既知の攻撃パターンをベースにした検出機能だけでは対応しきれない。そのため、SEP 11.0では「TruScan」と名付けたビヘイビア（挙動）分析型スキャンエンジンを搭載している。既存のヒューリスティック分析とは異なり、TruScanではレジストリの書換え、バックドアのオープン、キー入力キャプチャなど120以上の動作を独自のロジックで分析し、そのプロセスの善悪を判断する。

　ルートキットの技術を悪用し、自身の存在自体を隠ぺいするように作られたマルウェアに対しては、直接ディスク上のボリュームにアクセスするダイレクトボリュームスキャンによって記憶領域を直接、データブロック単位で精査していく。

メンテナンスリリースにより、安全性と快適性をさらに追求

　このような性能強化が図られたSEP 11.0だが、前バージョンとなるSCS 3.1から大幅な“軽量化”が実現している。スキャンを行っていないときには不要なメモリを極力解放するように設計されており、ユーザー領域のメモリ使用量を、およそ70％減らすことに成功した。

　ところが、2007年10月に登場した最初のリリースでは、物理メモリが少ないPC（最低システム要件は256MB）では、期待されたパフォーマンスに及ばないところがあった。その結果、起動時間が長くなり、「セキュリティ対策製品は重い」というマイナスイメージを払拭しきれなかったのだ。

　そこでシマンテックでは、四半期ごとにメンテナンスリリースを提供し、安全性および快適性の向上を提供し続けている。事実、最新版のMR3では、起動プロセスにおけるスレッド数やローディングをできる限り少なくなるように最適化し、メモリが少ないPCでもユーザーがストレスを感じないようなチューニングを実施した。

＠IT編集部のスタッフ3人が最新のSEP 11.0を楽しんでみた

　今回、SEP11.0 MR3とSCS 3.1の快適性比較実験に臨んだのは、Security & Trustフォーラムの担当編集者である宮田、セキュリティ関係を中心に長年ニュースを書いてきた高橋、そして副編集長の岡田の3人。2008年11月21日に開催されたシマンテックのイベント「Symantec Vision 2008」の会場の一角で実験は行われた。

　実験したのは、SEP11.0 MR3とSCS 3.1がインストールされた同一スペックのノートPCの起動時間の違いと、Wordファイルを開いて読み書きができるようになるまでの時間の違い。なお、時間の計測に利用したストップウオッチは、宮田の私物のiPhoneアプリケーションであるため、厳密な試験ではないことを申し添えておく。

　起動時間の測定は、電源をオンにしてからログイン画面が表示されるのと同時にエンターキーを叩いて自動的にWindowsタスクマネージャが立ち上がるまでを中間計測とし、その後、システムがアイドル状態になるまで（CPU使用率が5％以下の状態を3秒以上維持したタイミング）を計測した。

　旧バージョンとなるSCS 3.1では、電源オンから中間計測までが59.3秒、デスクトップ画面が表示されてからCPUがアイドル状態になるまでが46.0秒だった。Windows XPが起動して、作業が始められるようになるまでおよそ2分間。例えば、出社して始業するまでのあわただしい時間の中で、2分間も何もできずにただ画面を見ているしかないとなると、ストレスを感じてしまうかもしれない。

　一方、SEP 11.0 MR3では、中間計測までが32.9秒、アイドル状態になるまでが36.9秒となり、SCS 3.1に比べると起動時間が大幅に短くなっている。1分少々で作業が開始できるようになると思うと、「ちょっと待っていてもいいかな」と思えるかもしれない。

左がSEP 11.0 MR3、右がSCS 3.1の計測結果。下段に表示されている「ラップ1」が中間計測まで、上段の数値が中間計測から起動完了までの時間だ

　参考までに、2台同時に電源ボタンをオンにしてみたところ、高橋が担当したSEP 11.0 MR3が入っているノートPCが起動完了したのを横目に、宮田担当のSCS 3.1が入ったノートPCはようやくデスクトップ画面が表示されるのだった。

電源を同時に入れてみた。左のSEP 11.0 MR3が入ったノートPCはすでにWindowsタスクマネージャが立ち上がっているのに、右のSCS 3.1が入ったノートPCはデスクトップの表示も完了していない

　次に、Wordファイル（SEP11.0 簡易インストールガイド、3.18GB、28ページ、10,811文字、図版あり）を開くまでの時間を計測してみた。実験で利用したノートPCが高性能で、あっという間に開いてしまうため、あくまで参考程度と考えていただきたい。

　同じWordファイルをコピーし、選択状態にしてから同時にエンターキーを叩いて開いた。結果は、SEP 11.0 MR3が入ったノートPCの方が10.2秒、それから2.5秒遅れてSCS 3.1が入ったノートPCの方のWordファイルが開き終わった。

　ちなみに、Windowsタスクマネージャのパフォーマンスタブに表示されるデータから、プロセス数、スレッド数、利用可能な物理メモリ量などでSEP 11.0 MR3が軽量化されていることが分かった。

SEP 11.0 MR3が入ったノートPCのパフォーマンスタブ

SCS 3.1が入ったノートPCのパフォーマンスタブ

参考：シマンテックによる比較テスト

　参考までに、シマンテックによる検証データも見てみよう。これは、同社のテスト環境において得られたデータである。比較の対象は、SCS 3.1とSEP 11.0 MR3となっている。なお、使用されたPCは、CPUが3.4GHzのデュアルコア、物理メモリ1GB。Windows XPにSP3と2008年10月21日時点でのすべてのアップデートを適用している。

　起動時間の長さのテストでは、電源をオンにしてからログイン画面を経て、System Idle Processが95％以上を示した状態が10秒以上続いた時点までを計測している。セキュリティ対策製品を導入していない“素”のWindows XP SP3の起動時間が29秒であるのに対して、SCS 3.1は82秒を記録しており、その差は53秒だ。一方、SEP 11.0 MR3では36秒まで改善されており、“素”のWindowsの起動に対して7秒遅れとなった。

　Microsoft Word 2007で188KBの文書を開くテストでは、セキュリティスキャンをせずに開いた場合、3.28秒となる。これに対して、SCS 3.1ではスキャンを行うため1.04秒の時間が必要となり、文書を読み書きできるようになるまで4.32秒の待ち時間が発生していた。ところが、SEP 11.0 MR3では、その差は0.20秒とほとんど無視できるところまで短縮している。

　圧縮ファイルを解凍する時間も比較された。1GBのファイルを圧縮したものをセキュリティスキャンせずに解凍するのに339秒かかる。SCS 3.1では、503秒とおよそ3分の遅れとなるが、SEP 11.0では422秒と待ち時間が半減している。

　ビジネスにおいてWord文書や圧縮ファイルのやり取りは、しばしば発生することだ。相手が信用できる人であったとしても、ファイルそのものがウイルスに感染している場合もある。あるいは、Word文書に偽装された悪意のあるファイルの可能性も捨てきれない。セキュリティスキャンを実施せずに、これらのファイルをクリックするのは危険だろう。

　最後に、アイドル時におけるシステムメモリの使用バイト数の計測データを見てみよう。ワーキングセットでは、SCS 3.1の104MBに対して、SEP 11.0 MR3は22MBになっているように、使用していないメモリを積極的に解放している様子が分かる。

　プロセスが占有するプライベートバイトについても、SCS 3.1の80MBに対してSEP 11.0は38MBまで少なくなっており、搭載メモリが少ないノートPCなどでも重たさを感じないようにチューニングされている。

関連リンク

・シマンテック エンドポイントセキュリティ ・Symantec Endpoint Protection 11.0 無償評価版ダウンロード

ホワイトペーパー 管理システムを使わずにクライアントを ウイルスから守る方法 企業向けエンドポイント対策では通常、管理サーバを利用してクライアントを管理・保護する。ここでは、管理サーバを使わずに独立したクライアントとしてSymantec Endpoint Protectionをインストールする手法を伝授する。 　Symantec Endpoint ProtectionクライアントにはSymantec Endpoint Protection Managerによって管理されるクライアント（管理クライアント）と、管理されない独立したクライアント（管理外クライアント）がある。 　本資料ではSymantec Endpoint Protectionのアンチウイルス機能のみを管理外クライアント（管理されない独立したクライアント）としてインストールし、設定する方法を解説する。

提供：シマンテック株式会社
企画：アイティメディア 営業本部
制作：＠IT 編集部
掲載内容有効期限：2009年3月24日

ホワイトペーパー 管理システムを使わずにクライアントを ウイルスから守る方法 企業向けエンドポイント対策では通常、管理サーバを利用してクライアントを管理・保護する。ここでは、管理サーバを使わずに独立したクライアントとしてSymantec Endpoint Protectionをインストールする手法を伝授する。

関連リンク

・シマンテック エンドポイントセキュリティ ・Symantec Endpoint Protection 11.0 　無償評価版ダウンロード ・株式会社シマンテック

＠IT 関連記事

・Symantec Endpoint Protection　企業内クライアントを包括的に保護（＠IT Special） ・Symantec Endpoint Protection 11.0が持つ、「脅威の見えない化」に対抗する先進セキュリティ技術（＠IT Special） ・「定義ファイル頼み」だけでは守れない新たなセキュリティ脅威から包括的に保護（＠IT Special） ・シマンテックのNACがひと味違うのは「エンドポイントへの注力」（＠IT NewsInsight） ・4方式対応で検疫ネットワーク導入の敷居を下げる、シマンテック（＠IT NewsInsight） ・アンチウイルスから脱皮、シマンテックが企業向けで後継製品（＠IT NewsInsight） ・ブラックリストはもう限界？ シマンテックが未来を予測（＠IT NewsInsight）