未知マルウェアの対策というのは簡単ではありません。ここでは、対策の一例を過去問(H28SC春午後Ⅱ問2)を紹介します。
Cさん:未知マルウェア対策として,図7の案を考えました。未知のマルウェアを全て検知するのは無理です。そのため,未知のマルウェアヘの感染を前提とした対策も必要です。
【未知のマルウェアの検知を目的とした対策】
・入口対策:Web閲覧やメールで入ってきたファイルをサンドボックスで実行し,振る舞いを調べることによってマルウェアを検知する対策など
・出口対策:レピュテーションやアノマリ検知によって,C&C通信を発見する対策など
【未知のマルウェアヘの感染を前提とした対策】
・マルウェアに感染しても情報が漏えいしない対策(データの暗号化など)
・マルウェアに感染しても感染前の状態に戻せる対策(フートイメージからの復元など)
図7 未知マルウェア対策案(抜粋)

D部長:我が社のモバイルPCではハードディスクの暗号化を行っていますが,マルウェア感染時の情報漏えいを防げますか。
Cさん:残念ながら, ③マルウェア感染による情報漏えい対策としては役に立ちません。そうした情報漏えいを防ぐためにはDRMのような仕組みが必要になり,取引先にも影響があります。
D部長:なるほど。ブートイメージからの復元というのはどのようなものですか。
Cさん:ブートイメージとはOSの起動に必要なファイルや標準ソフトなどをひとまとめにしたものです。これを読取り専用領域に保存し,起動時に読み込ませることで,動作環境を復元します。実装方法として,モバイルPC上に読取り専用領域を作成する方法と,図8のように,仮想端末上でゲストOSを動かす,画面転送型の仮想デスクトップ環境(以下,VDIという)の二つがあります。

設問5(1)本文中の下線③について,役に立たない理由を40字以内で述べよ。
(2)モバイルPC上に読取り専用領域を作成する対策の場合、再起動時に一部のセキュリティ対策が初期化されるデメリットがある。その具体例を二つ,それぞれ25字以内で述べよ。
ここにあるように、マルウェアを検知するには、入口対策としてサンドボックス、出口対策としてURLフィルタリングなどによるC&Cサーバへの通信制御などがあります。
また、そもそも、マルウェアに感染する前提の対策も述べられています。つまり、マルウェアに感染しても情報漏えいが起きないようにするのです。

設問を解いてみましょう。

設問5(1) ハードディスクを暗号化すると、PCの紛失や盗難によって、不正な第三者に情報を見られることを防げます。しかし、OSを起動してログインしたユーザは、ファイルを見ることができます。これはマルウェアも同じです。試験センターの解答例は以下ですが、透過的というキーワードは書けなくてもいいでしょう。

【解答例】マルウェアからハードディスク内の情報が透過的に見えてしまうから

(2)解答例は
【解答例】
・AMのマルウェア定義ファイルが初期状態に戻る
※問題文の前半にて、AMがマルウェア対策ソフトであると定義されている
・セキュリティパッチが適用前の状態に戻る

DRMに関しては、DRMの記事も参考にしてください。