アプリケーションホワイトリスト：コンプリートガイド【日本語翻訳】

本記事では、アメリカのサイバーセキュリティ企業 ColorTokens（カラートークンズ）社が発信しているセキュリティ情報（英文）を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳・掲載しています。

※本記事は、掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。
記事下の最終更新日をご参考ください

---

攻撃がより巧妙になり、未知の脅威の数が増えるにつれて、ビジネスで必要なアプリケーションのセキュリティ確保はより困難になっています。

アプリケーションは、脆弱性を悪用して金銭やデータを得ようとするさまざまな脅威の標的になることがよくあります。

アプリケーションホワイトリスト技術は、これらの課題に対処するために特別に設計されています。

"良いものだけ"を許可することで、ホワイトリストソリューションはゼロデイ攻撃や未知のマルウェアがアプリケーションにアクセスできないようにするのに役立ちます。

NISTのアプリケーションホワイトリストの見解

米国国立標準技術研究所（NIST）は、組織がこの技術を理解し、評価し、実装するのを支援するためのガイダンスを含む、アプリケーションホワイトリストに関する包括的な概要を提供しています。

"NIST SP 800-167：アプリケーションホワイトリストガイド" では、ホワイトリストを以下のように定義しています：明確に定義されたベースラインに従って、ホスト上に存在すること、またはアクティブであることを許可されたアプリケーションおよびアプリケーションコンポーネント（ライブラリ、設定ファイルなど）のリストです。

アプリケーションホワイトリストを実施するために使用される技術、つまり、どのアプリケーションがホスト上にインストールまたは実行されることを許可されるかを制御するために使用される技術は、ホワイトリストプログラム、アプリケーション制御プログラム、またはアプリケーションホワイトリスト技術と呼ばれます。

NIST は、セキュリティソリューションとしてアプリケーションホワイトリストを使用することの有効性を強調する、決定的なフレームワークを提供しています。

ホワイトリストが適切に実装されていれば、既知および未知の脅威からアプリケーションを保護する最も効果的な方法です。

アプリケーションブラックリストとアプリケーションホワイトリストの違い

アプリケーションホワイトリストは、既知の良いものだけを許可するという、信頼中心のアプローチをとるアプリケーショ ン制御の一形態です。

基本的に、必要かつ安全に実行できると分類されたアプリケーション、ファイル、ディレクトリ、またはプロセスに対してのみ、認可が与えられます。

それ以外のすべてはデフォルトで拒否されます。

ファイル名、ファイルサイズ、ディレクトリパスなどの属性を使用して実行されます。

アプリケーションブラックリストは、悪意があることが分かっているもの、つまり既知の悪意のあるものはすべて、ネットワークの一部であるエンドポイントやサーバー上で実行されないようにするという、シンプルで分かりやすいセキュリティ戦略です。

ブラックリストは脅威を中心としたアプローチをとり、悪意のあるソフトウェアがネットワークに侵入するのを防ぎます。

悪意がある、あるいは疑わしいと判断されたシグネチャやハッシュのリストを利用し、ネットワークのシステム上でダウンロードや実行が行われないようにします。

6種類のホワイトリスト属性

アプリケーションホワイトリストは、アプリケーションのファイルとフォルダのさまざまな属性を利用して、審査されホワイトリストに登録されたファイルとプロセスだけが実行を許可されるようにします。

アプリケーションの安全性を確保するために使用できるホワイトリスト属性のタイプを 6 つ紹介します。

それぞれの属性には長所と短所があるため、ホワイトリストには2つ以上の属性を使用することが推奨されます。。

１．ファイルパスホワイトリスト

ファイルパスホワイトリストは、ホワイトリストの一般的なタイプで、指定されたパスにあるすべてのアプリケーションの実行を許可します。

ファイルパスのホワイトリストには二つのバリエーションがあります：
１） ディレクトリとサブディレクトリのすべてのファイルが許可される、ディレクトリベースのホワイトリスト
２）ファイルパスにマッチする指定されたファイル名だけが許可される、完全なファイルパスのホワイトリスト

２．ファイルホワイトリスト

ファイル名も属性として使用できます。

ファイル名のホワイトリストは、強力なセキュリティを確保するために、他の属性と組み合わせて使われることがよくあります。

単独の属性として使われると、ファイル名のホワイトリスト化は、ファイル名を比較的簡単に複製できる悪意のあるプログラムの犠牲になる可能性があるからです。

３．ファイルサイズホワイトリスト

ここでは、アプリケーションの悪意のあるバージョンは元のバージョンと異なるファイルサイズを持つと仮定しています。

ファイル名のホワイトリストと同様に、ファイルサイズのホワイトリストはそれ自体では強力な属性ではあり ませんが、ホストを保護するために他の属性と組み合わせて使用することができます。

４．暗号ハッシュホワイトリスト

暗号ハッシュはアプリケーションファイルに固有の値を提供します。

この属性を使用したホワイトリストは、ファイル名、ファイルの場所、または署名に関係なく、ホワイトリスト入りのハッシュファイルのみが実行されることを確保します。

５．デジタル署名

アプリケーションファイルのデジタル署名は、固有のホワイトリスト属性として使用できます。

これはファイルの正当性を検証し、したがってファイルが改ざんされていないと結論するために使用できます。

６．プロセスホワイトリスト

ホワイトリストは、特定のアプリケーションの実行に関連するプロセスだけを選択することで、プロセスレベルで行うこともできます。

プロセスを属性として使用することで、正当なプロセスの実行を許可する一方で、それ以外のすべてのプロセスの実行を阻止することで、システムをロックダウンすることができます。

アプリケーションホワイトリストの利点

アプリケーションホワイトリストは、組織がさまざまな既知および未知の脅威に対して保護し、防御するのに重要な役割を果たします。

ゼロ・トラスト・アプローチとも呼ばれる信頼中心のアプローチを取ることで、エンドポイントやサーバ上で実行されるソフトウェアを決定できるようになり、コントロールがユーザーの手に戻ります。

ビジネスに必要なプロセス、ファイル、アプリケーションをホワイトリスト化することで、許可されたファイルやソフトウェアのリストをプロアクティブに作成し、それ以外のプログラムやファイルの実行を阻止することができます。

アプリケーションホワイトリスト製品で探すべき5つの機能

すべてのホワイトリスト製品が同じように効果的というわけではありませんが、適切なソリューションを選択することで、マルウェア、ゼロデイ攻撃、ランサムウェア、横方向の脅威、および高度なファイルレス攻撃からアプリケーションを保護することができます。

選択するホワイトリストソリューションが次の5つの機能を備えていることを確認してください：

１．複数属性のホワイトリスト

一般的なホワイトリスト属性には、ファイルパス、ファイル名、ファイルサイズなどがあります。

しかし、これらの属性だけでは、攻撃者による脆弱性の悪用を防ぐには十分な強度を持ちません。

暗号化ハッシュやデジタル署名のような、より強力な属性を探し、それらをネットワーク内でどのように使用し、エンドポイントやサーバーを保護できるかを検討しましょう。

２．プロセスレベルの制御

個々のプロセスをホワイトリストに登録できるソリューションでは、エンドポイントをより高度に制御できます。

エンドポイントで実行されるアプリケーションで実際に使用されるプロセスのみを許可することで、マルウェアがエンドポイントを危険にさらす可能性のある新しいプロセスや未知のプロセスを生成することを確実に防止できます。

３．ルール設定

攻撃者が革新的になるにつれ、システムの脆弱性を悪用する新たな方法が見つかっています。

ゼロデイ攻撃やファイルレスのマルウェア攻撃を防ぐには、ホワイトリストに登録されたアプリケーションであっても、逸脱した動作を即座にブロックし、フラグを立てることができるような特定のルールを設定できるソリューションを探しましょう。

４．互換性

レガシーでパッチが適用されていないシステムは、最も脆弱であり、セキュリティのアップグレードが必要です。

ホワイトリストソリューションに注目するときは、そのソリューションがネットワーク環境で使用されているさまざまな OS ソフトウェアに導入可能かどうか、互換性があるかどうかをチェックしてください。

このようなシステムと互換性のあるホワイトリストソリューションは、OEMパッチを適用することなく、攻撃からシステムを保護することができます。

５．効率性と拡張性

アプリケーションホワイトリストソリューションを探している場合は、軽量で、エンドポイントやサーバーのパフォーマンスを低下させないことを確認してください。

クラウドへの移行が進む世界では、クラウドベースのホワイトリストソリューションは、迅速な展開を保証するだけでなく、ネットワーク全体を迅速に拡張し、脅威と脆弱性に関するリアルタイムのデータを受け取ることができます。

ホワイトリスト：最終的な結論

ホワイトリストは、エンドポイントとサーバを完全に管理するための優れたセキュリティ戦略です。

しかし、システムを制限的にし、広範なホワイトリストを維持・更新する必要のあるセキュリティ管理者に余計な負担をかけることにもなりかねません。

ただし、強力なホワイトリスト・ソリューションとホワイトリスト・テンプレートを利用すれば、初期導入時の運用負担を軽減することができます。

---

■公式サイト（日本語）

ColorTokens ゼロトラスト×マイクロセグメンテーション – 株式会社電巧社

■公式サイト（英語）

Be Breach Ready - ColorTokens

---

翻訳元記事「The Complete Guide to Application Whitelisting」
最終更新日：2023/7/21

The Complete Guide to Application Whitelisting - ColorTokens

著者：ColorTokens

#電巧社 #ゼロトラストセキュリティ情報局 #ColorTokens #ゼロトラスト #ゼロトラストセキュリティ #ゼロトラストアーキテクチャ #マイクロセグメンテーション #セキュリティ #サイバーセキュリティ #サイバー攻撃 #企業 #ホワイトリスト