許可リストとは?


アプリケーション許可リストまたはアプリケーション制御は、信頼されたファイル、アプリケーション、およびプロセスのみを実行できるようにすることで、セキュリティ上有害な攻撃を低減するセキュリティ機能です。

許可リストの定義

悪意のある攻撃を開始する可能性のある不正なアクティビティをブロックするために、企業はアプリケーション許可リストまたはアプリケーション制御を使用して境界セキュリティを強化しています。許可リストは、既知のファイル、アプリケーション、またはプロセスを識別して実行を許可します。逆に、未知のアクティビティはブロックまたは制限されるため、そうしたアクティビティがシステムや環境内で実行され、有害な状態で拡散するのを防ぐことができます。

一部の企業では、ブロックされたファイルを手動で確認し、使用を承認したり、必要に応じて修正したりしています。これに対し、高度なエンドポイント セキュリティ ソリューションでは、ソフトウェア制御および保護ポリシーに基づいて許可リスト プロセスを自動的に実行し、企業資産、知的財産、規制対象のデータを完全にロックダウンして保護できます。このようなソリューションを使用すると、信頼されたソフトウェアの承認が自動化され、許可リストを管理する必要性がなくなるため、ダウンタイムを削減できます。

許可リストの効果

許可リストは、セキュリティの重要な要素であると言われていますが(下記の「業界の動向」を参照)、非常に包括的なエンドポイント セキュリティを提供する多くのツールの 1 つにすぎません。

許可リストは、振る舞い分析や機械学習などの高度な手法と組み合わせることで、悪意のある攻撃のブロックおよび防止に大きく役立ちます。

たとえば、サイバーセキュリティのガイダンスを提供する第三者機関である NSS Labs は、Advanced Endpoint Protection(AEP)製品をテストして、その有効性を判断しました。このテストの目的は、既知および未知の脅威に対するプロアクティブなブロック機能とアクティブな検知機能を検証することでした。

同社が『2017 Security Value Map for Advanced Endpoint Protection』で示しているとおり、NSS Labs のテストでは、許可リストやその他のエンドポイント セキュリティ機能などのツールを使用して、攻撃を 100% 阻止できることが証明されました。

業界の動向:主要なセキュリティ戦略としての許可リスト

セキュリティの専門家は、許可リストを、ランサムウェアなどの悪質な攻撃を阻止できる必須の基本的なセキュリティ戦略とみなしています。

実際、CSO に掲載されたある記事では、推奨事項、レピュテーション スコア、その他のデータに基づくリアルタイムの許可リストは、理論上「非常に少ない管理オーバーヘッドで、ほぼ完全なエンドポイント セキュリティを実現できる」と記しています。

Help Net Security は最近、許可リストを使用して悪意のある攻撃をブロックする方法に関して、Gartner の上級セキュリティおよびプライバシー アナリストである Neil MacDonald 氏による同様の見解を紹介しました。「あらゆる種類の脆弱性に対する将来の攻撃のリスクを軽減するために、私たちはサーバ上でアプリケーション制御と許可リストを使用することを長年にわたって推奨してきました」と、MacDonald 氏は述べています。「まだ行っていないのであれば、今こそ拒否をデフォルトの方針とする考え方をサーバ ワークロードの保護に適用すべきです。対象のワークロードが物理、仮想、パブリッククラウド、コンテナベースのいずれかは問いません。これは、2018 年には、すべてのセキュリティおよびリスク管理のリーダーにとっての標準的な考え方、また、優先事項となるでしょう」

セキュリティ ソリューション企業の Red Canary のデジタル フォレンジックおよびインシデント レスポンス(DFIR)ストラテジストである Phil Hagen 氏は、MacDonald 氏と同じ見方をしています。最新のブログで、Hagen 氏は次のように述べています。「当社のパートナーである Carbon Black から提供されているようなアプリケーション制御ソリューションは、組織が攻撃の防止に向けて実施できる、非常に意義のある卓越した手段です。この方法により、リストに登録されている承認されたバイナリのみが企業内のシステムで実行されるようになります。フィッシング ペイロードの種類が標準的なランサムウェアであれ対象を絞ったカスタム マルウェアであれ、攻撃の犠牲になった場合の被害額は、一般に許可リストのソリューションを導入して維持するためのコストをはるかに上回ります」

WannaCry ランサムウェアの感染拡大によって最初の 1 週間で 400,000 台のマシンが感染しました。

 

解決策:リアルタイムの動的な許可リスト

現在のリスクの高いサイバー環境では、許可リストを含む包括的なエンドポイント セキュリティ ソリューションを導入して、機密データを継続的に保護することが不可欠です。許可できるアクティビティの厳密なポリシーに基づいて、許可リストとアプリケーション制御により、重要なシステムのロックダウンがリアルタイムで実行され、信頼されていないすべてのファイル、アプリケーション、およびプロセスの実行が自動的に阻止されるようになります。これらの高度な機能により、企業は次のことを実現できます。

攻撃の阻止:承認されたソフトウェアのみに対し実行を許可することで実現
ソフトウェアの自動化:IT およびクラウドベースのポリシーにより、ソフトウェアを自動で承認および更新
不正な変更の防止:カーネル レベルおよびユーザー モード レベルで、システム構成の不正な変更を防止
デバイス制御の強化:ファイル整合性の監視/制御(FIM/FIC)機能
IT リスクへの対応:主要な規制要件に対する監査管理

参考資料

本質的なセキュリティによるアプリケーションとデータの保護

新しいセキュリティ アプローチ:本質的なセキュリティは、ビジネスを保護するための従来とは根本的に異なるアプローチです。

VMware NSX Service-defined Firewall

NSX 上で動作する分散型のステートフルなレイヤー 7 内部ファイアウォールを利用すると、仮想、物理、コンテナ、クラウドのすべてのワークロードを対象に、データセンターのトラフィックを保護できます。

最新のデジタルワークスペース プラットフォーム

VMware Workspace ONE は、インテリジェンスベースのデジタルワークスペースを実現するプラットフォームです。デバイスを問わず、シンプルかつセキュアにあらゆるアプリケーションの提供と管理が行えます。