スワットカメラ -blog-

FFR yarai は、遅いし、重いのか?

2016年4月18日

標的型攻撃に関する話題で、弊社は、FFR yaraiをご紹介しています。

 

10名規模の導入検討案件から、3,000名、4,000名と、いう規模の検討案件もいただいております。

 

また、パートナー各社様からも、FFR yaraiを提案していただくためにあれこれとご質問を良くいただいております。

 

そしてもちろん、弊社自身も導入を検討されているお客様先へ良く伺います。

 

そんな中で、良く質問されるのが

  • FFR yarai を導入したら パソコンの動きが悪くなるの?
  • FFR yarai を導入したら ExcelとかPPTの動きが悪くなるの?
  • FFR yarai を導入したら 業務が出来なくなるの?

などです。

 

これ、全部 デマ です。
そう 嘘 です。

 

現実に、検証導入や、動作テストの名目で、お客様の実際の端末にインストールしていただき、その後、結果を伺ってみますと…

  • 導入してることを忘れる位に、通常業務に影響は無かった。
  • 試しに、試験的なマルウエアを入れた時だけ、アラート表示などが画面に出たが、それ以外は、導入していることを忘れるくらいだった。

と、感想をいただいております。

 

もちろん、弊社の業務で使用しているWindows端末(7,8.1,10)にも導入し稼働していますが、FFR yarai導入前後に差があるようには感じません。

 

非常に残念なことではありますが、弊社のお客様先で実際に聞いた話として他社の提案者さんが、ネガティブな話を説明されていると聞きました。

 

自分の提案製品を採用してもらうために、FFR yaraiに対しNGという印象を与えたい気持ちは判りますが、堂々と検知実績や、製品の仕組みの提案でお客様にご判断をいただくようにしましょうよ。

 

アンチウイルスソフト等、FFR yaraiのように、保護したい端末に適用して稼働させるソフトウエアの導入に対しては、導入されるお客様も導入後に業務に影響が出ることへの心配を持たれます。

 

当然です。

 

良く言われる、”導入したら、端末のCPUの負荷は○%程度(以下)ですので影響は無いと思います”ですが、もしこれをFFR yaraiで言うとしたら1%以下とご紹介しています。

 

端末(エンドポイント)の中で、CPU負荷が高くなる理由は、HDD(ハードディスク)へのアクセス処理時間(I/O時間) です。
FFR yaraiの場合、シグネチャを持たないため、シグネチャ比較などを行う意味での HDD(ハードディスク)への繰り返しのアクセスがありません。

 

もちろん、”疑わしいファイル”と思った場合は、FFR yaraiが持つエンジンで徹底的に調べる動作が実行されますので、CPU負荷は上がると思います。
しかし、”疑わしい”を調べる間の、僅かな負荷の上昇が…

  • FFR yarai は、動作が重くて処理が遅くなる。

という製品自体にマイナスな印象を与える理由になるとは思えません。

 

むしろ、軽さだけを差別点にして、”疑わしいファイル”を、疑わしいと判断せず「問題無し」と判断する方が、首を傾げます。

その点では、

  • FFR yarai は、誤検知が多い! (たぶん、過検知の意味だと…)

というネガティブ説明も、それに近いと思います。

 

“疑わしいファイル・疑わしい動作プロセス”を、「疑いあり!」とアラートで知らせることは、万が一「問題無し」とすり抜けた後のインシデント対応が発生したこと、と比較して考えるとリスク管理の観点では、どちらが望ましい動きになるでしょうか。

 

過検知(か・けんち)は、あって当然だと思います。
そして、過検知位の方が、重大なセキュリティ事故の事後対応を考えると問題は小さいと思います。

 

誤検知は、意味合いが異なります。
“問題の無いプロセス”として、FFR yaraiに定義したにも関わらず、同じことを検知し続けるような動作は、誤検知かもしれませんが。

  • 実際には、たいした検知も出来ないし、役には立たないですよ。

…と言ってるアナタ。

 

アナタのご提案されている製品は、ちゃんと役に立つのですか?
話題の、マルウエアやランサムウエアは、その発見された時期においてちゃんと検知して動作を抑止できたのでしょうか?
開発元さんは、それを公開公式情報として、開示されていますか?

 

いずれにしても、弊社ではお客様に説明して、またお願いをしています。

 

もし他社の方が…
FFR yaraiを入れたら、端末が遅くなり業務に支障が出る」と
説明された場合は、その方に…
FFR yaraiを自分で使ったことがあるの?」と、
聞いてみてください。と。

 

それで、NO! と返事をされたら「デマやウソを言ってはダメですよ」と諭してあげてください。と。

 

それでも納得されない場合は、弊社にご連絡をいただき、検証ライセンス版をお貸しするようにします…と。

 

FFR yaraiは、スタンドアロンの状態でも検証できます。
管理サーバや、アクティブディレクトリ(AD)等の認証サーバも不要です。
1台でも、動作します。

 

ちゃんと使ってみて、検知される実力も試し(その方法すら判らないなら無理ですが…)、それから、正しい話をお客様にご説明ください。

 

良く受ける質問であり、また、他社の方が繰り返し説明されている話題でしたが、それを概要としてまとめると、

 

FFR yaraiは、過検知があります。しかし、検知する側に振った許容範囲内と考えています。また、導入した端末の動作が遅くなり、従来の業務を遅延するような負荷は、全くありません。

 

FFR yarai は、遅いし、重いのか?は、ウソとデタラメです。
遅くないし、重くないです。

 

※お客様の端末環境によっては、FFR yaraiの導入が適さない場合もあります。
導入前の時点で、必ず試験導入にて動作確認をお願いしています。

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

(Vol.102)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2018、スワットブレインズ 掲載記事の無断転載を禁じます。