アプリケーションホワイトリスト対アプリケーションブラックリスト:メリットとデメリット【日本語翻訳】
本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の一次代理店である株式会社電巧社が許諾を得て日本語に翻訳・掲載しています。
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。
記事下の最終更新日をご参考ください
アプリケーションはしばしば、脆弱性を悪用して金銭やデータを得ようとする様々な脅威者に狙われます。
Ponemon Instituteの「2020 Cost of a Data Breach Report」によれば、データ侵害された際の平均コストは386万ドルです。
この高額な価格と、今日のサイバー脅威の高度化を考慮すると、企業がアプリケーションを攻撃から守るためにアクセス方法とその理由を制御することが重要です。
アプリケーション制御にはホワイトリスティングとブラックリスティングの2つの最も一般的なアプローチがあり、これらがどのようにネットワークを脅威から保護するのに役立つかを理解する価値があります。
ブラックリスティングはより伝統的で受動的な戦略であり、常に拡大し続けるマルウェアのリストに完全に依存しています。
一方で、ホワイトリスティングは積極的で手間のかかる取り組みが必要であり、保護とセキュリティ運用のバランスを作り出すために必要です。
したがって、攻撃のリスクが高い企業は、デバイスに対してホワイトリストを使う方向に傾く可能性があります。
その一方で、ビジネスに柔軟性を提供する必要がある企業は、セキュリティ戦略にブラックリストを採用するのが一般的です。
ここでは、これらのアプローチの詳細を見て、ビジネスがアプリケーションをどのように保護できるかを考察します。
アプリケーションホワイトリスティングとは何か?
アプリケーションホワイトリストは、既知の良好なもののみを許可する信頼中心のアプローチを取るアプリケーション制御の一形態です。
基本的に、必要かつ安全に実行できると分類されるアプリケーション、ファイル、ディレクトリ、またはプロセスにのみ許可が与えられます。
それ以外のすべてはデフォルトで拒否されます。
アプリケーションホワイトリストは、ファイル名、ファイルサイズ、ディレクトリパスなどの属性を使用して行われます。
米国国立標準技術研究所(NIST)は、セキュリティを強化するために、デジタル署名や暗号ハッシュなどのより強力な属性を他の属性と組み合わせて使用することを推奨しています。
ホワイトリストは、ユーザーやサーバーが実行するすべてのタスクの全体像を考慮した上で作成されます。
依存関係に基づいて、アプリケーションやその他のプロセスがホワイトリストに追加され、ネットワーク全体の円滑な運用が保証されます。
高度なホワイトリスト・ソリューションは、特定のアプリケーションやプロセスがどのようにアクセスされ、誰がアクセスできるかを決定するルールを追加する柔軟性も提供されます。
例えば、ホワイトリストルールとして、ホワイトリストに登録されたプロセスであるChrome.exeが、powershell.exeを起動することを許可しないようにできます。
アプリケーションホワイトリスティングのメリットとデメリット
アプリケーションホワイトリストのメリットとしては、システムを完全に制御して、既知の良好なもののみを実行するので、マルウェアの実行、感染、ネットワーク内での拡散を困難にします。
また許可されたゾーンを超えたすべてのものがデフォルトで拒否されるため、ゼロデイ攻撃など新しい未知のマルウェアを含んだものもすべて防ぎます。
これにより、ホワイトリストはビジネスにとって重要なサーバーやアプリケーションを保護するのに非常に効果的です。
一方で、ホワイトリストには制限があり、ユーザーがホワイトリストにないアプリケーションを実行するたびにチケットを発行する必要があります。
大企業では、これが運用上の課題となります。
また、包括的なホワイトリストを作成して更新し続けることは、管理者にとって大きな負担となります。
ただし、導入されるホワイトリスト・ソリューションに、事前のインテリジェンスに基づくポリシーテンプレートがあれば、この作業を大幅に軽減することができます。
アプリケーションブラックリストとは何か?
アプリケーション・ブラックリストは、悪意があることが分かっているもの、つまり既知の悪質なものはすべて、ネットワークの一部であるエンドポイントやサーバー上で実行されないようにする、シンプルで分かりやすいセキュリティ戦略です。
ブラックリストは脅威を中心としたアプローチをとり、悪意のあるソフトウェアがネットワークに侵入するのを防ぎます。
これは、悪意がある、または疑わしいと見なされたシグネチャやハッシュのリストであり、これらはダウンロードやシステムでの実行が阻止されます。
従来、ブラックリストはウイルス対策および対マルウェアのセキュリティソリューションで使用されており、マルウェアやウイルスに関連するシグネチャ、ヒューリスティクス、または動作特性のデータベースを維持することによって機能しています。
スパイウェア、トロイの木馬、ワームなどの明らかな脅威をブロックする以外に、ブラックリストにはユーザー、アプリケーション、プロセス、IPアドレスを含めることができ、不正アクセスから重要なアプリケーションを保護し、コンプライアンス要件を満たすことができます。
アプリケーションブラックリストのメリットとデメリット
アプリケーションのブラックリスト化は何年も前から行われており、比較的簡単で、既知の脅威を防ぐという直接的な利点があるため、ほとんどの企業で人気のあるセキュリティ・オプションとなっています。
管理者は、ユーザーが必要なアプリケーションにアクセスできるようにしながら、既知の悪意のあるソフトウェアを簡単にブロックすることができます。
ただし、ブラックリストだけに頼ることにはデメリットもあります。
AV-TEST Instituteによると、1日あたり約35万の新しい悪意のあるプログラム(マルウェア)や望ましくないアプリケーション(PUA)が登録されています。
これほど多くの新しい脅威が頻繁に出現する中、すべての種類のマルウェアを把握することはほぼ不可能です。
また、シグネチャ・データベースが最新であっても、ゼロデイ攻撃(まったく新しい、または未知のマルウェアによる攻撃)が発生した場合、ブラックリストはまったく役に立ちません。
ブラックリストとホワイトリスト:どちらが適切なアプローチか?
どちらのアプローチにも長所と短所があるため、ほとんどのセキュリティ専門家はこの問題に頭を悩ませています。
アプリケーションのブラックリスト化は、日を追うごとに増加する既知の脅威を排除するために必要であることは明らかですが、既知の脅威からしか保護できません。
一方、アプリケーションのホワイトリスト化は、既知と未知の脅威の両方から保護するように設計されていますが、導入時の制約が多く、また、運用上の維持が困難です。
多くの企業では、アプリケーション・ブラックリストは、ラップトップやデスクトップのような多機能デバイス上で実行されるウイルス対策やその他のシグネチャベースのセキュリティの形で、最低限のセキュリティ対策として使用されています。
一方、アプリケーションのホワイトリスト化は、キオスク端末、POS システム、ATM、チェックイン・キオスク端末など、デバイスの機能や能力が制限されている特殊用途のシステムを保護するために使用されます。
しかし、すべてのエンドポイントやサーバーで実行されるアプリケーションを最大限に保護するためには、セキュリティにホワイトリストとブラックリストの両方のツールを含める必要があります。
これは、ブラックリストが提供するセキュリティ、つまり既知の悪質なものからの保護と、重要なアプリケーションを未知のマルウェアから保護するホワイトリスト機能を組み合わせたソリューションを導入することで実現できます。
■公式サイト(日本語)
■公式サイト(英語)
翻訳元記事
「Application Whitelisting vs. Application Blacklisting: Pros and Cons」
最終更新日:2023/4/13
著者:Vivek Biswas
Vivek Biswas氏はColorTokensのプロダクトマネージャーです。過去7年間、彼は開発者およびプロダクトマネージャーとしてソフトウェア製品とサービスを開発しています。
#電巧社 #ゼロトラストセキュリティ情報局 #ColorTokens #ゼロトラスト #ゼロトラストセキュリティ #ゼロトラストアーキテクチャ #マイクロセグメンテーション #セキュリティ #サイバーセキュリティ #サイバー攻撃 #企業 #ホワイトリスト #ブラックリスト