Header Navigation - JP
Background image for アプリケーションの許可リストとは?
Cybersecurity 101/エンドポイントセキュリティ/アプリケーション一覧

アプリケーションの許可リストとは?

アプリケーションの許可リストは、実行可能なソフトウェアを制御することでセキュリティを強化します。悪意のあるプログラムからネットワークを保護するための効果的な許可リスト戦略の実装方法をご覧ください。

著者: SentinelOne

アプリケーションホワイトリストとは、承認されたアプリケーションのみをシステム上で実行可能とするセキュリティ手法です。本ガイドでは、アプリケーションホワイトリストの原理、その利点、およびセキュリティ強化方法について解説します。

ホワイトリスト実装のベストプラクティスと、定期的な更新・監視の重要性について学びましょう。アプリケーションホワイトリストを理解することは、不正なソフトウェアやマルウェアから組織を保護するために不可欠です。

アプリケーション許可リストとは?

アプリケーション許可リストは、ネットワーク上で悪意のあるプログラムが実行されるのを防ぐエンドポイントセキュリティの一形態です。オペレーティングシステムをリアルタイムで監視し、許可されていないファイルの実行を防止します。

NIST SP 800-167によれば、アプリケーション許可リストとは「明確に定義された基準に基づき、ホスト上で存在または動作が許可されるアプリケーションおよびアプリケーションコンポーネント(ライブラリ、設定ファイルなど)のリスト」である。アプリケーション許可リスト技術を活用することで、組織はエンドユーザー端末やネットワーク上でマルウェアやその他の不正なソフトウェアの実行をエンドユーザーデバイスやネットワーク上で防止できます。

アプリケーション・アロワリスト化により、管理者や組織は実行可能なプログラムを制御できます。明示的に許可リストに登録されていないプログラムは自動的にブロックリストに追加されます。

アプリケーション・アロワリスト化とアプリケーション・ホワイトリスト化の比較

「アプリケーション許可リスト」と「アプリケーションホワイトリスト」は同じ概念を指しますが、このセキュリティ機能を説明する際に「アプリケーション許可リスト」が推奨される用語です。

英国国家サイバーセキュリティセンターによれば、“白”をを「善良で許可され安全な」ものと、ブラックを「悪質で危険かつ禁止された」ものと同一視することは問題がある。特に、同じ活動を説明する別の曖昧さの少ない用語が利用可能な場合にはなおさらである。

ブロックリストとブラックリストの対比

「ブロックリスト化」(または拒否リスト化)と「ブラックリスト化」についても同様のことが言える。サイバーセキュリティにおいて望ましくない属性を表す用語として「ブラックリスト」が一般的でしたが、現在では中立的な「ブロックリスト」が好まれています。

アプリケーション許可リストの仕組みとは?

アプリケーション許可リストとは、コンピュータシステム上で許可または承認されたソフトウェアアプリケーションのインデックスを指定し、潜在的に有害なアプリケーションからシステムを保護する手法です。この承認済みアプリケーションリストは、サードパーティベンダーが提供するか、ホストオペレーティングシステムに組み込まれる。

アプリケーション許可リストを活用することで、組織は明示的に許可されていないアプリケーションのインストールや実行を防止できる。許可リストソフトウェアは、ネットワーク上で実行を試みるアプリケーションを許可済みアプリケーションリストと照合する。アプリケーションが許可リストに登録されていれば、実行が許可される。

ネットワーク管理者は通常、許可するアプリケーションを選択する立場にあるため、システムの安全性を厳格に管理し、サイバーセキュリティの意思決定プロセスにアクセスできる人員を最小限に抑えることが可能となる。

既知の「悪意のある」活動をブロックリストで防止するアンチウイルスソフトウェアとは異なり、活動をブロックし、それ以外はすべて許可するのとは異なり、許可リスト技術は既知の「安全な」活動を許可し、それ以外はすべてブロックします。最終的に、この手法はマルウェアや不正なソフトウェア、潜在的に脆弱なソフトウェアを含む様々な脅威の軽減に役立ちます。

現代のマルウェアベースの脅威の多くはカスタマイズされ標的を絞っているため、アプリケーション許可リストはマルウェアのインストールや実行を阻止するのに役立ちます。未知のマルウェア防止においては、アプリケーション許可リスト技術がアンチウイルスソフトウェアよりも効果的な場合がある。

アプリケーション許可リストソフトウェアは、不正なアプリケーションをブロックするだけでなく、オペレーティングシステムをリアルタイムで監視し、不正なファイルの実行を防止する。単に不要なアプリケーションの実行を阻止するだけでなく、アプリケーション許可リストはインストールパッケージを詳細に検査し、ファイルの完全性を検証する。

アプリケーション許可リストは、組織のエンドポイントを保護するためのシンプルかつ効果的な対策です。管理者は、エンドユーザーが承認済みアプリケーションのみをインストールできるようにすることで、悪意のあるプログラムが取り返しのつかない損害を与える前に阻止できます。

アプリケーション許可リストを導入する際には、信頼できるアプリケーションのみがシステム上で実行されるようにすることが不可欠です。Singularity XDR のようなソリューションは、リアルタイム監視と拡張検知機能を提供し、すべてのエンドポイントで許可リストポリシーが効果的に適用されることを保証します。

レポート

エンドポイントセキュリティをリードする

SentinelOneがGartner® Magic Quadrant™のエンドポイントプロテクションプラットフォーム部門で4年連続リーダーに選ばれた理由をご覧ください。

レポートを読む

アプリケーションの許可リストとブロックリストの比較

事前に定義された「悪質」アプリケーションの事前定義リストを使用するのに対し、ブロックリスト方式のソフトウェアは、ネットワーク上で実行を試みるアプリケーションを、ブロック対象アプリケーションのリストと照合します。アプリケーションがブロックリストにない場合、実行が許可されます。

例えば、従来のアンチウイルスソフトウェアは、既知のマルウェアがコンピュータシステム上で実行されるのを防ぐためにブロックリスト方式を使用します。アプリケーション許可リスト方式はリスト未登録のアプリケーションを拒否するのに対し、アプリケーションブロックリスト方式はリスト未登録のアプリケーションを許可するため、アプリケーション許可リスト方式の方がアプリケーションブロックリスト方式よりも安全であると言える。

アプリケーション許可リスト方式とアプリケーション制御の比較

“「アプリケーション許可リスト方式」と「アプリケーション制御」はしばしば同義語として使われますが、必ずしも同じ意味ではありません。両技術とも不正なアプリケーションを防止できますが、アプリケーション許可リスト方式はアプリケーション制御よりも厳格です。

アプリケーション制御は、エンドポイントへの不正なアプリケーションのインストールを防止できる点で、アプリケーション許可リストと類似しています。

しかし、この技術自体には二つの重大な注意点がある。第一に、アプリケーション制御はインストールパッケージレベルで機能するため、システムにインストールされたアプリケーションやスタンドアロン実行ファイルをエンドユーザーが実行することを阻止できない。

第二に、アプリケーション制御ツールはアプリケーションインストールパッケージを常に詳細レベルで検査するわけではありません。代わりに、アプリケーションが許可されているかどうかのみを確認します。脅威アクターは、正当なアプリケーションパッケージに不正なコードを埋め込み、アプリケーション制御ツールを迂回する可能性があります。

アプリケーション許可リストの種類

アプリケーション許可リストの種類は、セキュリティ、利便性、保守性のバランスがそれぞれ異なります。主な種類は以下の通りです:

1.ファイルパス

ファイルパスは最も一般的な属性であり、特定のパス(ディレクトリまたはフォルダ)を持つすべてのアプリケーションを許可します。ディレクトリ内の悪意のあるファイルの実行を許可するため、ファイルパスは脆弱な属性となり得ます。ただし、厳格なアクセス制御により管理者だけがファイルの追加や変更を許可される場合、ファイルパスはより堅牢な属性となり得ます。

ファイルパスは、パス内の各ファイルを個別にリストアップする必要がない点でも有益です。これにより、新しいアプリケーションやパッチごとに許可リストを更新する必要性が軽減されます。

2. ファイル名

ファイル名単体では属性が一般的すぎる場合が多い。例えば、ファイルが感染または置換されても、その名前が変わる可能性は低く、許可リスト下で実行され続ける。

さらに、脅威アクターは標準的な良性ファイルと同じ名前で悪意のあるファイルをホストに配置する可能性があります。これらの弱点のため、ファイル名属性はファイルパスやデジタル署名属性など他の属性と組み合わせて使用するのが最適です。

3. ファイルサイズ

アプリケーションのファイルサイズを監視することで、管理者は悪意のあるバージョンはオリジナル版とファイルサイズが異なるはずだと想定します。

しかし、脅威アクターはしばしば、悪意のあるファイルを意図的に無害なファイルと同じサイズに作成します。デジタル署名や暗号ハッシュを含む他の属性は、ファイルをより正確に識別できるため、可能な限りファイルサイズに代えて使用すべきです。

4. 暗号ハッシュ

暗号ハッシュは、使用される暗号が強力であり、ハッシュ がすでに「正常な」ファイルに関連付けられている限り、アプリケーションファイルに対して信頼性が高く固有の値を提供することができます。暗号ハッシュは通常、ファイルの保存場所、ファイル名、署名方法にかかわらず正確です。ただし、ファイルが更新された場合、暗号ハッシュの有用性は低下します。例えば、アプリケーションにパッチを適用すると、修正後のバージョンは異なるハッシュ値を持ちます。このような場合、パッチはデジタル署名と許可リストに追加された暗号ハッシュによって正当に見えかねません。

5. デジタル署名と発行元

現在、多くの発行元はアプリケーションファイルにデジタル署名を行っています。デジタル署名は受信者がアプリケーションファイルを検証するための信頼性が高く一意の値を提供し、チームがファイルが正当で改変されていないことを保証することを可能にします。

ただし、一部の発行元はアプリケーションファイルに署名しないため、発行元提供のデジタル署名のみを使用することは往々にして不可能です。一部のアプリケーション許可リストは、個々のデジタル署名を検証する代わりに、発行元の身元に基づいて作成される場合があります。ただし、この方法は、組織が信頼できる発行元からのすべてのアプリケーションを信頼できることを前提としています。

アプリケーション許可リストの利点と制限事項

アプリケーション許可リストにはいくつかの利点と制限があります。

利点

アプリケーション許可リストの主な利点は、マルウェアや ランサムウェアがネットワーク内に侵入し実行されるのを阻止するのに役立つことです。アプリケーションの許可リスト方式はブロックリスト方式よりも制限が厳しいため、エンドユーザーは組織の許可リストにないプログラムをインストールする前に管理者の許可を得る必要があります。未承認アプリケーションへの承認要求は、エンドポイントへの悪意あるプログラムのインストール防止に役立ちます。

アプリケーション許可リストの主な利点は以下の通りです:

  • マルウェアおよび未知の脅威の防止
  • ソフトウェアインベントリの作成
  • インシデント対応 サポート
  • ファイルの監視

デメリット

アプリケーションの許可リストには、セキュリティチームに追加の作業が発生する可能性があるという重大な制限があります。例えば、初期の許可リストを構築するには、エンドユーザーのタスクとそれらのタスクを実行するために必要なアプリケーションに関する詳細な情報を入手する必要があります。

同様に、アプリケーションや企業技術スタックの複雑化に伴い、許可リストの維持管理には時間がかかる場合があります。

アプリケーションの許可リストに関連する主な欠点には、以下のようなものがあります:

  • 実装が困難
  • エンドユーザーへの影響
  • 適用範囲の制限
  • 労力がかかる

比類なきエンドポイントプロテクション

SentinelOneのAIを搭載したエンドポイントセキュリティが、サイバー脅威をリアルタイムで防止、検出、対応するためにどのように役立つかをご覧ください。

デモを見る

アプリケーション許可リストに関するよくある質問

アプリケーション許可リストとは、システム上で実行を許可する承認済みソフトウェアプログラムのリストを作成するセキュリティ対策です。この事前承認リストに掲載されたアプリケーションのみが実行可能となり、それ以外はデフォルトでブロックされます。この手法は、悪意のあるプログラムをすべてブロックしようとする従来のセキュリティ手法とは異なり、既知の安全なプログラムのみを許可するという点で逆転したアプローチです。許可リストはOSの組み込み機能やサードパーティ製セキュリティツールで実装可能です。

許可リストとホワイトリストは同じセキュリティ概念を指します。どちらもアクセスを許可する承認済みエンティティのリストを作成します。主な違いは用語です。「許可リスト」が現在推奨される用語であり、問題となる可能性のある言語的連想を回避します。どちらの用語も、信頼できるアプリケーション、IPアドレス、またはユーザーを明示的に許可し、それ以外のすべてをブロックする手法を説明しています。

アプリケーションホワイトリストは、実行を試みるすべてのプログラムを承認済みリストと照合することで機能します。アプリケーションがホワイトリストに記載されている場合、通常通り実行されます。記載されていない場合、システムは自動的にそれをブロックします。このプロセスでは、デジタル署名、ファイルパス、暗号ハッシュなどのファイル属性を使用してプログラムの身元を確認します。新しいソフトウェアをインストールする場合、ユーザーが実行する前に管理者が承認する必要があります。

アプリケーションホワイトリストは、従来のアンチウイルスでは検知できない未知の脅威から保護します。マルウェアが過去に確認されたことがなくても、その実行を阻止します。ソフトウェアの使用をより厳密に管理でき、従業員による不正なプログラムのインストールを阻止できます。この手法はコンプライアンス要件の達成にも役立ち、システムの攻撃対象領域を縮小します。機密データを扱う組織では、この予防的なセキュリティ対策が特に効果を発揮します。

いいえ、アプリケーションホワイトリストとアンチウイルスは異なる仕組みです。アンチウイルスソフトウェアはシグネチャデータベースを用いて既知の悪意あるプログラムを識別・ブロックします。悪意があると特定されない限り、すべての実行を許可します。ホワイトリストは逆の動作をします——特に承認されない限りすべてをブロックします。アンチウイルスは事後対応型であるのに対し、ホワイトリストは事前対応型です。両者を併用することで多層的なセキュリティ保護を実現できます。

ホワイトリストは承認済みプログラムのみを許可するのに対し、ブラックリストは既知の悪意あるプログラムのみをブロックします。ブラックリストはデフォルトですべてを許可し、ブロックリストに記載されたもののみを拒否します。ホワイトリストはデフォルトですべてを拒否し、承認済みプログラムのみを許可します。ブラックリスト方式は新たな脅威の出現に伴い継続的な更新が必要です。ホワイトリスト方式はより強固なセキュリティを提供しますが、初期設定作業がより多く必要です。選択はセキュリティ要件と運用要件によって異なります。

高度なセキュリティ要件を持つ組織はアプリケーションホワイトリストを活用すべきです。政府機関、金融機関、医療提供者が一般的に導入しています。機密データを扱う企業や厳格なコンプライアンス要件に直面する企業が最も恩恵を受けます。産業用制御システムや重要インフラ事業者もホワイトリストを利用しています。

詳しく見る エンドポイントセキュリティ

マネージドEDR(MEDR)とは何ですか?エンドポイントセキュリティ

マネージドEDR(MEDR)とは何ですか?

マネージドEDRは、高度なセキュリティソリューションと専門家のガイダンスを組み合わせ、脅威の検知、分析、対応を実現します。脅威インテリジェンス、インシデント対応、脅威ハンティング機能を提供します。

続きを読む
マネージドエンドポイント保護とは?エンドポイントセキュリティ

マネージドエンドポイント保護とは?

本記事では、マネージドエンドポイント保護の概要、重要性、主要機能、課題、ベストプラクティスを解説します。プロバイダーがAI駆動の堅牢な脅威防御でエンドポイントを保護する手法を明らかにします。

続きを読む
Linuxエンドポイント保護のベストプラクティスエンドポイントセキュリティ

Linuxエンドポイント保護のベストプラクティス

Linuxエンドポイントセキュリティの実践的なヒントを入手しましょう。更新プログラム、最小権限の原則(PoLP)、ファイアウォールルール、SSH強化、2段階認証(2FA)、EDRツールを活用し、脅威を遮断してデータを保護します。警戒を怠らず、将来の侵害を今日から防止しましょう。

続きを読む
2025年に注目すべきエンドポイントセキュリティ企業10社"エンドポイントセキュリティ

2025年に注目すべきエンドポイントセキュリティ企業10社"

エンドポイントセキュリティ企業は、高度な脅威検知・防止機能とソリューションを活用し、組織が全エンドポイントの可視性を獲得し、サイバー脅威から保護することを可能にします。"

続きを読む
セキュリティ・オペレーションに革命を起こす準備はできていますか?

セキュリティ・オペレーションに革命を起こす準備はできていますか?

SentinelOne AI SIEMがどのようにSOCを自律的な大国に変えることができるかをご覧ください。個別のデモをご希望の場合は、今すぐお問い合わせください。

デモのリクエスト