本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています。
※本記事は、掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。記事下の最終更新日をご参考ください
アプリケーションホワイトリストの4つの主な利点
毎日35万以上もの新しい悪意のあるプログラム(マルウェア)や望ましくないアプリケーション(PUA)が発見される中、アプリケーションの保護は企業や組織にとって重要な課題となっています。
ウイルス対策ソフトやマルウェア対策ソフトは、一般的に既知のサイバー脅威をしっかりとブロックしてくれますが、未知の脅威やまだ発見されていない新しい脅威をすべて監視し続けることは事実上不可能です。
そこで重要な役割を果たすのが、アプリケーションのホワイトリスト化です。
アプリケーションのホワイトリスティングソリューションは、アプリケーションが重要な役割を果たす組織のアタックサーフェスを減少させることで、様々な脅威に対する保護を提供します。
信頼に基づくアプローチ、またはゼロトラストアプローチとしても知られるアプリケーションのホワイトリスト化は、エンドポイントやサーバ上で実行されるソフトウェアをユーザに決定させることで、その制御をユーザの手に取り戻します。
ビジネスに必要なプロセス、ファイル、および/またはアプリケーションをホワイトリストに登録することで、許可されたファイルとソフトウェアのリストを積極的に作成し、他のプログラムやファイルの実行を防ぎ、既知および未知の脅威からネットワークを保護します。
アプリケーションのホワイトリスティングの利点
トップクラスのアプリケーションホワイトリスティングソリューションが、企業をサイバーレジリエントを高めるのに役立つ4つの方法を紹介します:
1.マルウェアおよび未知の脅威の防止
アプリケーションのホワイトリスティングは、認可されたソフトウェアのみがサーバーおよびエンドポイントで実行されるようにします。
それ以外のソフトウェアは許可されていないとみなされ、実行が阻止されます。
これにより、ほとんどのマルウェアがシステム上で実行されるのを防げます。
ウイルス対策/マルウェア対策ソリューションも同様のメリットを提供しますが、ホワイトリストは未知の脅威さえも防ぐという追加の利点があります。
ゼロデイ攻撃や脅威インテリジェント機関によってまだ発見されていないカスタマイズされたマルウェアによる攻撃の場合、ホワイトリストはこれらの脅威がシステムに侵入しないように、それらを未承認に分類して実行をブロックします。
アプリケーションのホワイトリスト化は、ランサムウェア、ゼロデイ脅威、ファイルレスマルウェア、DTrackマルウェア、高度な持続的脅威(APT)、リターン指向プログラミング(ROP)、リモートアクセストロージャン(RAT)など、さまざまな攻撃を防ぐことができます。
ただし、アプリケーションを許可または拒否するだけでは十分ではありません。ChromeのようなWebブラウザやPowershellのような管理アプリケーションは正当なアプリケーションですが、ChromeからPowershellが生成されることは悪意のある挙動を示している可能性があります。
優れたアプリケーションホワイトリスティングテクノロジーは、実行されているアプリケーションのコンテキストを理解し、特定のアプリケーションプロセスの親プロセスと子プロセスを追跡して、単純なホワイトリストにとどまらず、アプリケーションが許可されるか拒否されるかを判断します。
2. ソフトウェアインベントリ
どんなアプリケーションのホワイトリスティングソリューションも成功するためには、ホストシステム上のアプリケーションやプロセスに対する完全な可視性を提供する必要があります。
この可視性を利用して、すべてのエンドポイントとサーバにインストールされているアプリケーションとアプリケーションのバージョンのインベントリを作成することができます。
この情報をもとに、セキュリティチームはホストにまだ残っている未承認のアプリケーションや誤ったバージョンのソフトウェアのバージョンを特定することができます。
ホワイトリスティングソリューションによって提供される可視性は、未知の、変更された、および未承認のアプリケーションを調査する必要があるフォレンジックでも有用です。
ソフトウェアインベントリの追加の利点には、会計、予算編成、および効率的なリソース割り当てが含まれます。
たとえば、会計プログラムのライセンスを100個購入した場合、実際には50個しか使用されていないことが分かれば、購入されたライセンスの数を削減するのが良いアイデアかもしれません。
3.ファイルモニタリング
ホワイトリスト・ソリューションには多くの種類があり、そのほとんどはアプリケーション・ファイルへの変更を監視すること ができます。
その機能に応じて、ホワイトリスティング・ソリューションは、ファイルが変更されるのを防ぐか、あるいは、発生した変更にフラグを立て、さらなる調査を行うことができます。
これにより、セキュリティチームは、ホスト内の疑わしい活動や悪意のある活動に対して警告を発し、セキュリティポリシーを微調整し、それに応じてホワイトリストを更新することができます。
一方で、スマートなホワイトリスティングソリューションを使用すれば、Microsoftのアップデートなどアプリケーションのプロパティを変更する正当なアップデートを、アラートを発生させずに行うことができるはずです。
4.インシデント対応
アプリケーションのホワイトリスティングは、企業がマルウェアの拡散を防ぐのにも役立ちます。
セキュリティインシデントが発生し、特定の悪意のあるファイルがホスト上で発見された場合、アプリケーションのホワイトリスティングテクノロジーを使用して他のホストにも同じファイルがあるかどうかをチェックし、それによってそのホストが侵害されたかどうかを判断できます。
感染したホストが特定されれば、ネットワークから悪意のあるファイルを削除できます。
これは、悪意があると判断されたファイルの暗号化ハッシュ値をプラグインし、ネットワークをスキャンしてこのハッシュ値を持つホストを検出することで、すべての悪意あるファイルを特定することができます。
アプリケーションのホワイトリスティング:ゼロトラストセキュリティアプローチ
企業は徐々に、シグネチャベースのセキュリティがすべてのサイバー脅威からアプリケーションを保護するには不十分であることを認識し始めています。
これが、多くの企業が既にゼロトラストの原則をネットワークセキュリティ戦略に組み込み始めている理由です。
ホワイトリスト化は「既知の正当なもの」のみを実行許可することで、エンドポイントとサーバー全体にわたってセキュリティにゼロトラストアプローチを採用します。
セキュリティの観点から見ると、アプリケーションのホワイトリスト化が、現代の巧妙な脅威から組織を可能な限り保護する最善の手段を提供すると言えるでしょう。
こういったセキュリティに関するご相談に関しましても、お気軽にColorTokens(カラートークンズ)公式サイトからお問い合わせください。
翻訳元記事
「4 Top Benefits of Application Whitelisting」
最終更新日:2025/3/12
著者:ColorTokens Editorial Team
この記事の著者:電巧社セキュリティブログ編集部
