今までのウイルス対策ソフトには弱点が存在？  

　最近のネットワーク対応型のウイルス対策ソフトは、多くの機能を持った統合化セキュリティシステムへと進化してきている。しかし、ここにはまだ弱点が残されている。ウイルス対策ソフトウェアは、今までで発見された既存のウイルスかそれと同等の機能を持つウイルスに対してのみ機能するものであり、未知のウイルスには対応ができない場合があるという点である。このため、最近ではウイルス対策ソフトのベンダーと通信機器メーカーが協業し、互いに補間し合うことで今までとは違った新しい対応策を実現し、こうした弱点を克服しようという動きが出てきている。その一例がウイルスの「ふるまい」というものに着目した対応策である。これについて少し具体的に見ていこう。　

　ウイルスが起こす何らかのアクションとは、かならずOSの機能を利用して実現していることがわかる。これらは、周辺機器への情報の読み書き、ポートを介したデータ通信、さらにはレジストリの改ざんなどに代表される。また、ウイルスがこれらのOS機能を呼びだす際、実際には、OSのシステムコールを利用している。この「ふるまい」 に着目した対応策では、ウイルス自体を監視するのと同時に、システムコールの異常な呼びだしを監視する。つまり、ウイルスが行う悪意ある行動自体も監視しようという発想である。これによって、ウイルス情報として認識されていなかった新しいウイルスでも、その「ふるまい」によってこれを検知することが可能となる。よって、取りこぼした新種のウイルスが新たに発見することができ，ウイルス対策ソフトの機能の強化につながり、企業システムなどのネットワークが汚染されるリスクを回避できる。今後は、このような新しいアプローチによる統合的なウイルス対策が普及していくことが重要である。

①ウイルス対策ソフトは、パターン分類されたシステムコールの呼び出し手順を監視。

②コンピュータウイルスが発症動作するためシステムコール呼び出しを実行。

③システムコール部は、呼び出しに従ってOSの対応部に働きかけ、ウイルスの動作を実行する。

④検知時、ウイルス動作と認識対応にあたる。

コンピュータウイルスの「ふるまい」から検知する場合、刺身のウイルス情報がない場合でも新種のウイルスを検知する。

ここでその機能が搭載されたカスペルスキーのソフトウェアを少し紹介する。　

　現在、Kaspersky Labのセキュリティ製品は、システムイベントを監視する機能が搭載され、それさらに強化を続けていき、カスペルスキーシステムウォッチャーとなった。このシステムウォッチャーは、最も関連性の高いシステムイベントデータをスキャンする。そのデータとはファイルの作成や変更、システムレジストリに対する変更、 システムコール、ネットワーク上のデータ転送といった情報である。