Morphisecライターチームです。
ホワイトリスト、セーフリストまたはアローリスト方式と呼ばれる防御手法を採用した製品を検討されたことはあるでしょうか。
ホワイトリスト方式は、シグネチャあるいはパターンファイルをはじめとする特定の攻撃手法など、サイバー脅威に対抗するうえで要求される事前知識を必要としない防御手法です。
信頼できるアプリケーションのみ起動を許可することで、攻撃者によるマルウェアの実行だけでなくユーザーによる無許可のソフトウェア導入も防ぐことができる、強力な防御手法となります。
テレワークの普及やクラウドへの移行など、企業環境の多様化に伴って従来の境界防御からゼロトラストの考え方に移行しつつあります。
環境ごとに考えられるリスクとその対策に追われる中で、いつでも、どこでも許可されたアプリケーションしか動作できないようにするこの方式は理に適っていると言えるかもしれません。
ただし、ホワイトリスト型の製品にはメリットばかりではなくデメリットも存在します。
それらを検討し、自社の環境に最適かどうかを判断する必要があります。本記事ではホワイトリスト型のセキュリティ製品と従来型の製品の違い、メリットとデメリットを確認し、当社が推奨するセキュリティ製品をご紹介します。
- Morphisecのページから資料を無料ダウンロード
ホワイトリストの登録が不要、運用の手間が少ないセキュリティ対策
目次
ホワイトリスト型とは
ホワイトリスト方式による防御は、アンチウイルスなどの従来製品のそれとは対極の位置にあると言ってよいでしょう。
なぜなら防御方式のベースとなる考え方が全く真逆となるためです。
従来の製品はブラックリスト型
シグネチャベースのアンチウイルス製品、特定のコアテクニックに基づいた攻撃手法を監視および防御する次世代型製品、その他サンドボックスやAIなどは総じてブラックリスト方式に分類されます。
これは悪意のある要素だけを許可せずブロックするという考え方で、既に悪性だと判明しているファイルや過去の情報から類推して悪性だと考えられる動作等に対して防御を行います。
ただしシグネチャが発行されていないマルウェアや、全く情報がない未知の攻撃はすり抜けられてしまう可能性があり、攻撃者とのいたちごっこを続けることになります。
ホワイトリスト型の仕組み
一方でホワイトリスト方式の基本的な仕組みは、許可されたアプリケーションまたはプロセスのみ起動できるというものです。
この強固なルールに基づいた防御方式により、組織側が事前に認識できないマルウェア、悪意あるソフトウェア、スクリプトなどは実行することできません。
また、ユーザーによる組織内で許可されていないアプリケーション、不必要なソフトウェアの導入を防ぐ効果もあります。
制限が部分的に留まるブラックリスト方式とは対照的に、許可されたプログラム以外はすべて制限されるホワイトリスト方式はよりセキュリティが厳しく、防御力が高いと言えます。
次に、ホワイトリスト方式を採用した防御ソリューションのメリットを挙げていきます。
ホワイトリスト型のメリット
事前知識に依存しない
ブラックリスト方式の製品は、何が悪性で防御するべきなのかを判断するための基準として、シグネチャファイルなどの事前知識を必要とします。
裏を返せば事前知識を持ち合わせていない場合は攻撃を止められないということになります。
一方、ホワイトリスト方式の製品は攻撃であるかどうかに関わらず、明示的に許可されていない限り、プログラムの実行を阻止します。
したがって、既知の脅威だけでなく、世界で初めて実行される全く未知の新しい攻撃であろうと防御が可能となります。
特定の脅威カテゴリに絞ることなく幅広い攻撃を防ぐことが可能なホワイトリスト方式は、脅威に対して高い対応力を有していると言えるでしょう。
許可されていないものはブロックする
許可したアプリケーションしか起動をさせないという特性から、ホワイトリスト方式は外部からの攻撃だけでなく、内部ユーザーによる故意または過失による許可されていないソフトウェアの導入や、システムファイルやレジストリの改ざん防止も可能です。
更新の頻度が少ない
バグ対応やOSの環境追随のため、製品のバージョンアップは適宜必要となりますが、アンチウイルス製品のようにシグネチャ・パターンファイルに依存しないので、製品の更新頻度は少なく済みます。
また、機能によってはインターネット接続が必要となるケースもありますが、基本的にはインターネット接続は不要で、設定したポリシーに従って動作を続けます。
そのため、オフラインや隔離環境でも使用することが可能です。
ホワイトリスト型のデメリット
ここまでホワイトリスト方式のメリットを挙げてきましたが、デメリットも存在します。
そのため、双方を考慮に入れることが重要です。
リストの運用に手間がかかる
ホワイトリスト方式では、ユーザーが業務で使用するアプリケーションを登録する必要があります。
しかし、実際には全てのアプリケーションが全ユーザーによって常に使用されているわけではありません。
特定のプロジェクトでのみ使用するアプリケーションや、月に一度の定期業務で使用するツールなど、特定のメンバーが特定の期間のみ使用するものについては、一時的に許可するといった対応が必要となります。
これらを永続的に許可するとホワイトリスト方式の目的と反し、セキュリティホールとなってしまいます。
また、OSのアップデートによる構成変更やアプリケーションのアップデートによるハッシュ値の変更等でリストに再登録が必要になる場合もあるため、ホワイトリストの維持と運用にはかなりの労力が必要となる可能性があります。
いざ導入して稼働を開始すると、当初想定していた運用状況と実際の運用との間でギャップを感じてしまうかもしれません。
誤検知・過検知の多さ
ホワイトリスト型は誤検知や過検知の発生を前提としており、導入してから業務の実態に合わせてチューニングをしていく必要があります。
チューニングをしても、業務上スポットで必要となるアプリケーションがあれば都度許可が要るため、業務進行を遅らせる足かせとなる可能性があります。
防御性と運用性のトレードオフ
ホワイトリスト方式を運用するために、特定の文字列を含むファイルや、信頼できるベンダーの実行ファイルを自動で許可する機能が搭載されている場合があります。
これは、リストのメンテナンスをサポートする一方で、2018年に発生したシステムクリーナーソフト「CCleaner」にマルウェアが混入した事例のような、信頼できるはずのソフトウェア自体が汚染されてしまっている場合でも許可されてしまうリスクを孕んでいます。
ホワイトリストへの登録の多さや維持の容易さは、そのままセキュリティホールの拡大を意味する可能性があることを念頭に置かなければなりません。
以上のようなメリット・デメリットを踏まえて、自社の環境と課題にマッチするかを検討することが必要です。
最後に、その仕組みからホワイトリスト型製品とよく比較される、当社お勧めの製品「Morphisec」についてご紹介します。
ホワイトリスト型でない新たな防御手法「Morphisec」
高度な脅威への対策ができ、パフォーマンスへの影響が少ない製品として、当社はMorphisec(モルフィセック)を提供しています。
従来の防御手法とは異なる、Automated Moving Target Defense(AMTD)によりアプリケーションのメモリをランダム化することで、事前知識に頼ることなく強力な防御能力を提供します。
また運用負荷も軽量というメリットがあります。
事前知識に頼らない保護機能
Morphisecは、起動するアプリケーションのメモリリソースをランダム化するという防御手法により、正規のアプリケーションは問題なく動作させつつ、攻撃者の悪意ある動作のみを防ぐことが可能です。
そのため、メモリの脆弱点を狙うファイルレス攻撃に対して高い防御効果を発揮します。
また、アプリケーションが修正パッチを適用する前の状態、つまり脆弱性を抱えた状態であっても保護ができるため、パッチを適用するまでの期間に生じるギャップを埋めることが出来ます。
さらに、Morphisecはシグネチャやパターンファイルに依存しないため、更新し続けなければならない”事前知識”に頼ることなく、いつでも最適な保護を提供します。
業務への低負荷
Morphisecは、ユーザーが業務で使用するアプリケーションが動作する際に、割り当てられるメモリリソースをランダムに変化させるというアプローチを採用しています。
そのため、ホワイトリスト型のように起動自体を制限するのではなく、アプリケーションは起動したものの攻撃者の意図した動作が失敗に終わるという結果を生み出します。
これによって通常業務を止めることは基本的にはなく、また、Morphisecは監視操作なども行わないため端末への負荷は非常に低くなります。
デフォルトのポリシーで大半の攻撃をカバーするため、細かいメンテナンスは必要なく、運用負荷も低くなっています。
定期的な通信(ハートビートなど)や、脅威を検知した際のログのサイズも小さく、ネットワークへの負荷も最小限となっています。
ホワイトリスト型ではない防御手法がおすすめ
このように、Morphisecはその低いパフォーマンス負荷と、定期的な更新が求められるパターンファイルを必要としない製品設計により、Morphisec自体にかかる運用の手間を最低限に抑えつつ、強力な保護機能を提供します。
ホワイトリスト型の製品は、特定のアプリケーション以外の動作を制限するため、アップデート頻度も少ないOT環境であれば有効に機能しますが、柔軟さが求められるオフィス環境では運用が困難になる可能性があります。
そのような状況で、事前知識に依存せず運用の手間も少ないセキュリティソリューションをお探しであればMorphisecを是非ご検討ください。
- Morphisecのページから資料を無料ダウンロード
ホワイトリストの登録が不要、運用の手間が少ないセキュリティ対策