本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています。
※本記事は、掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。記事下の最終更新日をご参考ください
アプリケーションホワイトリストソリューションを選択する方法
新種や未知のマルウェアによる攻撃の脅威が増え続ける中、アプリケーションのホワイトリスト化は、エンドポイントやサーバを保護するための重要なツールとなっています。
その中核となるホワイトリストは、既知の良好なアプリケーションの実行のみを許可し、未知のファイルやアプリケーションの実行をすべて防止することで、セキュリティにゼロトラストのアプローチを取ります。
この信頼中心のアプローチは、マルウェア、ゼロデイ攻撃、ランサムウェア、横方向への拡散、高度なファイルレス攻撃からアプリケーションを保護するのに役立ちます。
アプリケーションホワイトリストソリューションに求められる機能 TOP5
すべてのアプリケーションホワイトリスト製品が、同じように効果的というわけではありません。
ホワイトリストソリューションを探しているのであれば、以下の5つの項目を満たしているものを選ぶことが重要です。
1.複数のホワイトリスト属性
属性は、ホワイトリストソリューションの中核で、企業のニーズに基づいて正当なプログラムやアプリケーションの実行を許可する柔軟性を与えます。
ホワイトリストに使用できる属性は数多くあります。
最も一般的に使用されるものには、ファイルパス、ファイル名、ファイルサイズなどがあります。
しかし、これらの属性を個別に使用した場合、攻撃者による脆弱性の悪用を防ぐには十分ではありません。
ホワイトリスティング・ソリューションを選択する際には、暗号ハッシュやデジタル署名のような強力な属性があるかどうかを確認し、エンドポイントやサーバーを保護するためにネットワーク内でどのように使用できるかを検討しましょう。
2. プロセスレベルの制御
ファイル・パス、ファイル名、ファイル・サイズ、暗号ハッシュ、デジタル署名は望ましい属性ではありますが、悪用されたり、時には運用上実用的でなくなる欠点もあります。
ですが、プロセスのホワイトリスト化を可能にするソリューションでは、エンドポイントをより高度に制御することができます。
エンドポイント上で実行されるアプリケーションによって実際に使用されるプロセスのみを許可することで、マルウェアがエンドポイントを危険にさらす可能性のある新しいプロセスや未知のプロセスを生成するのを確実に防ぐことができます。
そのため、未知のマルウェアからの攻撃リスクが高い企業では、プロセス・レベルでの制御を実現するソリューションが望まれます。
3. ルール設定
攻撃者がより革新的になるにつれて、システムの脆弱性を悪用する新しい方法が見つかっています。
多くの場合、ホワイトリストに登録されているアプリケーションでさえも悪意あるものに変わる可能性があります。
また、成功した攻撃の大部分は、従来のウイルス対策ソフトでは検知できないファイルレスマルウェアが使用されています。
ゼロデイ攻撃とファイルレスマルウェア攻撃を防ぐためには、ホワイトリストに登録されているアプリケーションであっても、逸脱した動作を即座にブロックし、フラグを立てるような特定のルールを設定できるソリューションを探しましょう
例えば、Chromeブラウザがpowershell.exeを起動するのは疑わしいので、理想的には実行を許可しないことが望ましいです。
しかし、ChromeとPowerShellは、両方ともホワイトリストに登録されているかもしれません。
powershell.exeファイルが実行されないように、ホワイトリストソリューションは特定の状況でアプリケーションやプロセスがどのプロセスを起動できるかなど、コンテキストを定義するルールを設定できる必要があります。
4.互換性
企業ネットワークは何千ものエンドポイントで構成されており、それらは異なる種類のオペレーティング・システム上で動作している可能性があります。
実際、多くのエンドポイントやサーバーでレガシーなものやパッチが適用されていないOSを使用している可能性があり、攻撃のリスクが高まります。
ホワイトリストソリューションを選ぶ際には、ソリューションがネットワーク環境で使用されているさまざまなOSソフトウェアに導入可能かどうか、互換性があるかどうかを確認してください。
レガシーでパッチが適用されていないシステムは最も脆弱で、セキュリティのアップグレードが必要です。
このようなシステムと互換性があるホワイトリストソリューションは、OEMパッチを適用することなく、攻撃からシステムを保護できます。
適切なホワイトリストソリューションは、全体的なセキュリティ体制を大幅に向上させることができます。
5.効率と拡張性
おそらくエンドポイントにはすでに、シグネチャデータベースを更新するか、行動データを分析するためにサーバーと通信しているウイルス対策ソフトやEDRソリューションが搭載されていることでしょう。
アプリケーションのホワイトリストソリューションを探している場合は、軽量でエンドポイントとサーバーのパフォーマンスを低下させないか確認してください。
クラウドへの移行がますます進む現在、クラウドベースのホワイトリストソリューションは、より迅速な展開を保証するだけでなく、ネットワーク全体を素早く拡張し、脅威と脆弱性に関するリアルタイムのデータを受け取ることができます。
クラウドベースのソリューションの利点の一つは、ハードウェアの要件やベンダーロックインがないため、資本費用が大幅に削減されることです。
アプリケーションホワイトリスト製品を選択する際のその他の考慮事項
現在、市場にはさまざまなホワイトリストソリューションがあり、自社の要件に合ったものを見つけることが重要です。
上記の機能とは別に、運用上の課題、実装にかかる時間、ソリューションを管理するためにどれだけのリソースを割り当てる必要があるかも考慮する必要があります。
シミュレーション・モードで運用できるソリューションであれば、導入前にワークフローへの影響を知ることができます。
また、ホワイトリストのテンプレートがあれば、手動でホワイトリストを作成する時間を大幅に短縮できます。
このようなセキュリティのご相談があれば、ぜひColorTokens(カラートークンズ)公式サイトからお問い合わせください。
翻訳元記事
「How to Choose an Application Whitelisting Solution 」
最終更新日:2025/3/12
著者:ColorTokens Editorial Team
この記事の著者:電巧社セキュリティブログ編集部
