アプリケーション許可リスト (ホワイトリスト)
アプリケーション許可リスト (ホワイトリスト) とは何ですか?
アプリケーション許可リスト (ホワイトリスト)明示的に承認された実行ファイル、スクリプト、ライブラリのみをエンドポイントで実行させ、それ以外を既定で拒否する防御策。
アプリケーション許可リスト(旧称ホワイトリスト)は、AV の「既定で許可」を逆転させる発想です。承認されたポリシー(ハッシュ、発行者署名、パス)に合致する実行ファイル、DLL、スクリプト、インストーラだけが実行を許可され、それ以外はすべて遮断されます。Microsoft AppLocker と Windows Defender Application Control (WDAC)、Linux の fapolicyd、macOS の公証、Airlock Digital や ThreatLocker などがこのパターンを実装しています。NIST SP 800-167(Guide to Application Whitelisting)はアーキテクチャを示し、米国 CISA/NSA/FBI の Essential Eight では、標的型侵入に対し単独で最も効果的な緩和策と評価されています。ファイルレス攻撃や未署名ランサムウェアに非常に強い反面、新規ツール導入のたびに承認フローが必要で、厳格な変更管理を求めます。
● 例
- 01
WDAC により Microsoft 署名済みバイナリと少数の承認済み内部ツールだけを許可する Windows サーバ。
- 02
Cobalt Strike ビーコンをダウンロードしようとする未署名 PowerShell スクリプトを Airlock Digital が遮断する例。
● よくある質問
アプリケーション許可リスト (ホワイトリスト) とは何ですか?
明示的に承認された実行ファイル、スクリプト、ライブラリのみをエンドポイントで実行させ、それ以外を既定で拒否する防御策。 サイバーセキュリティの 防御と運用 カテゴリに属します。
アプリケーション許可リスト (ホワイトリスト) とはどういう意味ですか?
明示的に承認された実行ファイル、スクリプト、ライブラリのみをエンドポイントで実行させ、それ以外を既定で拒否する防御策。
アプリケーション許可リスト (ホワイトリスト) からどのように防御しますか?
アプリケーション許可リスト (ホワイトリスト) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
アプリケーション許可リスト (ホワイトリスト) の別名は何ですか?
一般的な別名: アプリケーション Allowlisting, ソフトウェアホワイトリスト。