NIST SP 800-167（アプリケーションホワイトリストのガイド）からの重要な３つのポイント【日本語翻訳】

本記事では、アメリカのサイバーセキュリティ企業 ColorTokens（カラートークンズ）社が発信しているセキュリティ情報（英文）を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳・掲載しています。

※本記事は、掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。
記事下の最終更新日をご参考ください

---

国立標準技術研究所（NIST）は、アメリカ合衆国商務省の非規制機関である物理科学研究所です。

NISTのSP 800-167：アプリケーションホワイトリストのガイドは、アプリケーションホワイトリストに関する包括的な概要と、組織がアプリケーションホワイトリスト技術を理解し、評価し、実装するのに役立つガイダンスを提供しています。

この記事では、NIST SP 800-167からの3つの重要なポイントと、それが組織にとってなぜ重要なのかを探ります。

アプリケーションホワイトリストとは何か？

本題に入る前に、NISTが定義するアプリケーションホワイトリストについて簡単に紹介します。

アプリケーションホワイトリスト技術は、マルウェアや他の不正なプロセスの実行を阻止するために使用されます。

多くの点で、アプリケーションホワイトリストは、ブラックリストを使用して既知の悪意のある活動をブロックし、その他のすべてを許可するウイルス対策ソフトなどのセキュリティ技術とは正反対です。 

”NIST Special Publication 800-167 Guide to Application Whitelisting”では、次のように定義されています：

アプリケーションホワイトリストは、ホスト上に存在またはアクティブになることが許可されているアプリケーションおよびアプリケーションの構成要素（ライブラリ、設定ファイルなど）のリストのことで、明確に定義されたベースラインに従います。

アプリケーションホワイトリストを実施するために、ホスト上のアプリケーションのインストールまたは実行の許可を制御する技術のことを、ホワイトリストプログラム、アプリケーション制御プログラム、またはアプリケーションホワイトリスト技術と呼ばれています。

要点1: ホワイトリスト属性がセキュリティを左右する

アプリケーションホワイトリストは、アプリケーションファイルとフォルダの属性を使用して、様々な方法で行うことができます。

NIST SP 800-167では、アプリケーションホワイトリストに使用される、主要な属性を５つ挙げています。

５つの属性にはそれぞれ長所と短所があり、ほとんどの場合、セキュリティを強化するために2つ以上の属性を使用することが最善です。

１．ファイルパス

これは最も一般的な属性で、特定のパス（ディレクトリ/フォルダ）内に含まれるすべてのアプリケーションを許可するために使用されます。

この属性は、ディレクトリ内に置かれた悪意のあるファイルでも実行を許可してしまうため、単独では非常に弱い属性です。

２．ファイル名

この属性はアプリケーションファイルの名前をホワイトリストに登録するために使用されます。

ただし、ファイルが感染したり、置き換えられた場合でも、ファイル名は変更されないため、ホワイトリストに登録されたまま実行されてしまいます。

３．ファイルサイズ

この属性は、悪意のあるバージョンのアプリケーションのファイルサイズがオリジナルのファイルサイズと異なっていると仮定しています。

しかし、この仮定が常に正しいとは限りません。

そのため、この属性は通常、ファイル名などの他の属性と組み合わせてのみ使用されます。

４．暗号ハッシュ

暗号ハッシュは、アプリケーションファイルに対する信頼性のある一意の値を提供します。

ハッシュはファイルが配置されている場所や名前、署名方法に関係なく正確です。

しかし、暗号ハッシュは、アプリケーションにパッチが適用されたときなど、ファイルが更新されたときには役に立ちません。

５．デジタル署名または発行者

デジタル署名もアプリケーションファイルに対する一意の値を提供し、受信者によって検証され、ファイルが正当であるか変更されていないかを確認します。

残念ながら、多くのアプリケーションファイルは発行者によって署名されていないため、この属性を使用することが常に可能とは限りません。

その他の考慮事項

5つのホワイトリスト属性それぞれには制限があります。

NISTはより良い保護のために、これらの属性のうち2つ以上を組み合わせて使用することを推奨しています。

しかし、ホワイトリストが最高水準のセキュリティを提供するためには、できるだけきめ細かくするある必要があります。

これは、ホワイトリストがカーネルまたはプロセスレベルで行われることで実現できます。

NISTが述べる5つのホワイトリスト属性とは別の、プロセス属性を持つホワイトリストソリューションは、悪意のあるプロセスがホストで実行されないようにします。

ただし、ホワイトリストに登録されたプロセスであっても、ネットワークに侵入するために悪用される可能性があります。

この可能性を防ぐためには、基本的に親プロセスと子プロセスの両方を制御するコンテキストベース認証の追加を導入する必要があります。

例えば、ホワイトリストに登録されたMicrosoft Wordのプロセス（winword.exe）がpowershell.exeを生成する場合、悪意あるプロセスである可能性が高いため、防止する必要があります。

コンテキストベースのプロセスレベル制御を提供するホワイトリストソリューションは、ランサムウェア、ファイルレスマルウェア、ゼロデイ攻撃、その他の現代の脅威からアプリケーションを効果的に保護できます。

要点 2: アプリケーションホワイトリストは未知の脅威を軽減する

アプリケーションホワイトリストは、複数のカテゴリの脅威を軽減し、特に未知のマルウェアに対する保護に効果的です。

ほとんどのマルウェアは、ホストソフトウェアに存在する脆弱性を悪用するか、正規のアプリケーションやプロセスを装ってホストに感染します。

既知のシグネチャがあれば、ウイルス対策ソフトなどの従来のセキュリティソリューションはスキャン中にそれを検出し、マルウェアファイルを隔離します。

しかし、新種の未知のマルウェアが次々と出現し、攻撃者の多くがファイルレスマルウェアを使用しているため、ウイルス対策ソフトが脅威を検出・防止することはほぼ不可能です。

アプリケーションホワイトリストは、既知の優良なアプリケーションのみを許可し、それ以外の許可されていないプロセスやアプリケーションの実行を防止する積極的なアプローチを採ります。

アプリケーションホワイトリストが適切に設定されていれば、ほとんどのマルウェアの実行とインストールを阻止できます。

アプリケーションホワイトリストは、未承認の古いバージョンのソフトウェアがインストールされることも防ぎます。

このようなソフトウェアはホストに脆弱性をもたらし、攻撃者に悪用されてホストを侵害する手段となる可能性があるからです。

要点３: アプリケーションホワイトリストはさらなるセキュリティの利点がある

アプリケーションホワイトリストは、主にアプリケーションの制御を提供し、ホストが「既知の正常なもの」のみを実行できるように制限することで、アプリケーションを脅威から保護するために使用されます。

しかしNISTによれば、アプリケーションホワイトリストには他にも運用上の利点があるとしています。

・ソフトウェアインベントリ

アプリケーションホワイトリスト技術は、エンドポイントやサーバー上で実行されているアプリケーションを可視化する必要があるため、インストールされているすべてのアプリケーションとアプリケーションのバージョンのインベントリを維持するために使用できます。

組織はこの情報を使って、未許可のアプリケーション（ライセンスのないアプリケーションや禁止されているアプリケーションなど）を特定することができます。

また、実行中の「誤ったバージョン」のソフトウェアの特定にも役立ちます。

この情報は、法的な調査にも有用です。

・ファイルの整合性の監視

ほとんどのアプリケーションホワイトリスト技術は、アプリケーションファイルへの変更の試みを、頻繁にまたは継続的に監視することができます。

技術によっては、ファイルの変更を防いだり、変更が発生した際にすぐに報告したりすることができます。

どちらの場合も、悪意のある行動や侵入の試みをより早く検知できます。 

・インシデント対応

エンドポイントまたはサーバーのインシデントに対応する際、組織はそのホスト上の悪意あるファイルの特性（暗号化ファイルハッシュなど）を取得します。

アプリケーションホワイトリスト技術を使用して、他のホストに同じファイルかないかチェックすることで、マルウェアの拡散を検出し、阻止することができます。

アプリケーションホワイトリストの動作を確認する

攻撃がより巧妙になり、未知の脅威の数が増加するにつれて、ビジネスにとって重要なアプリケーションの保護が困難になる可能性があります。

"NIST Special Publication 800-167 Guide to Application Whitelisting"では、アプリケーションホワイトリストをセキュリティソリューションとして使用する有効性を強調した明確なフレームワークを提供しています。

これが適切に実装されれば、既知および未知の脅威からアプリケーションを保護する最も効果的な方法となります。

---

■公式サイト（日本語）

ColorTokens ゼロトラスト×マイクロセグメンテーション – 株式会社電巧社

■公式サイト（英語）

Be Breach Ready - ColorTokens

---

翻訳元記事
「3 Key Takeaways from NIST SP 800-167: Guide to Application Whitelisting」
最終更新日：2020/11/28

3 Key Takeaways from NIST SP 800-167: Guide to Application Whitelisting - ColorTokens

著者: Vivek Biswas
Vivek Biswas氏はColorTokensのプロダクトマネージャーです。彼は過去7年間、開発者およびプロダクトマネージャーとしてソフトウェア製品とサービスの開発に従事しています。彼はIIT Roorkeeでの材料工学のB.TechおよびIndian School of BusinessでのMBAを取得しています。

#電巧社 #ゼロトラストセキュリティ情報局 #ColorTokens #ゼロトラスト #ゼロトラストセキュリティ #ゼロトラストアーキテクチャ #マイクロセグメンテーション #セキュリティ #サイバーセキュリティ #サイバー攻撃 #企業 #ホワイトリスト