スキャン間隔を5分（1分ではなく）に設定した理由

クライアントから「1分ごと、あるいは30秒ごとにスキャンできるか」とよく聞かれる。正直な答えはこうだ：技術的には可能だが、やるべきではない。

現代の注入型マルウェアは、特定のセッション条件が揃ったときにのみ起動する。スキャン頻度を上げても、マルウェアが起動する回数は増えない——空振りスキャンの数が増えるだけだ。1分間隔にした場合、計算リソースを5倍消費する一方で、バックテストのデータセットでは追加の検出インシデントはゼロだった。

5分が変曲点だ。この点で平均検出時間（MTTD）が安定する。これより短くすると、逓減する収益に対してより多くのコストを払うことになる。これより長い（15分、1時間）と、動きの速いスキマーファミリーに対してMTTDが急上昇する。

5分間隔は、攻撃者のセッション追跡ロジックに対して私たちが不可視にとどまるのに十分なほど遅い。より速いcrawlはscraping botに見え始め、マルウェア自身のanti-analysis検査を発動させてしまう。