アプリケーションコントロール

English -> Visit BeyondTrust Original Page

アプリケーションコントロールとは何ですか?

アプリケーションコントロールは、コンピューターまたはネットワーク上のソフトウェア アプリケーションの実行を規制および管理するサイバーセキュリティ対策です。アプリケーションを実行できるかどうか、また実行方法を指定するポリシーの定義と適用が含まれます。

高度なアプリケーションコントロール機能には、アプリケーションのサブ機能を制御し、実行を許可する前に追加のコンテキストを考慮することにより、きめ細かい最小権限の適用が含まれます。

アプリケーション制御は、不正なソフトウェアや悪意のあるソフトウェア( BeyondTrust 英語サイト )に関連するリスクを軽減することで、セキュリティを強化することを目的としています。

アプリケーションコントロールはどのようなタイプのセキュリティコントロールですか?

アプリケーションコントロールは、アクセスコントロールサイバーセキュリティのカテゴリに含まれます 。アクセス制御メカニズムにより、承認されたエンティティ、アプリケーション、またはプロセスのみが特定のリソースにアクセスしたり、システム内で特定のアクションを実行したりできるようになります。

特に、アプリケーション制御は、定義済みのルールとポリシーに基づいてソフトウェア アプリケーションの実行を制御することに重点を置いています。主に、エンドポイントまたはサーバー上で許可されていないアプリケーションや悪意のあるアプリケーションが実行されないようにすることに重点が置かれています。

アプリケーション制御はベンダーによってスタンドアロン ソフトウェアとして提供される場合もあれば、ファイアウォールや UTM 製品の一部としてバンドルされている場合もありますが、エンドポイント権限管理ソリューションの自然なコンポーネントであることがよくあります。権限の昇格と委任管理 (Privilege Elevation and Delegation Management – PEDM : BeyondTrust 英語サイト)とも呼ばれるこれらのソリューションは、エンドポイント (デスクトップ、サーバーなど) の権限のきめ細かい制御とアプリケーション制御機能を組み合わせています。エンドポイント権限管理自体は、特権アクセス管理 ( Privileged Access Management – PAM) の中核となる分野です。エンドポイント権限管理は、ユーザーとアプリケーションが適切な権限を持つことを保証し、アプリケーション制御は、承認されたアプリケーションのみが実行できることを保証して、攻撃対象領域と潜在的な脆弱性を減らします。

アプリケーション制御技術にはどのようなものがありますか?

ブロックリスト

ブロック リスト (許可リストとも呼ばれる) は、既知のハッシュに基づいてアプリケーションの実行を広範囲に防止し、認識されたマルウェアを効果的に阻止します。マルウェアの約 4 分の 3 はシグネチャ ベースのツールでは検出できない (darkreading.com 英語)可能性があるため、拒否リストだけでは不十分です。

マルウェアは急速に進化しているため、拒否リストは、増え続けるファイル リストに対応することが困難になっています。さらに、知識豊富なユーザーは拒否リストを簡単に回避できるため、拒否リストはユーザー アクセスの制御には不十分です。ブロック リストの失敗は「偽陰性」と呼ばれ、リストに一致しないためにソフトウェアが正当であると誤って想定されるときに発生します。

リストへの掲載を許可する

アプリケーション許可リストは、拒否リストとは対照的に、アプリケーション制御内の特定の方法であり、事前に承認されたアプリケーションのリストのみ実行を許可し、他のすべてのアプリケーションを効果的にブロックします。言い換えると、アプリケーション許可リストは、承認されたアプリケーションの許可のみに焦点を当てたアプリケーション制御のサブセットです。

従来の許可リスト作成方法はハッシュに依存することが多く、課題があることに留意してください。一般的な OS インストールには多数のアプリケーションがあるため、許可リストを最新に保つには、広範な初期構成と、システムの変更や更新のたびに継続的な更新が必要になる場合があります。

許可リストはシステムの強化( BeyondTrust 英語サイト )には効果的ですが、欠点としては、正当なソフトウェアがブロックされる可能性がある誤検知などのエラーが発生しやすいことです。

グレーリスト

複雑なシステムでは、許可リストとブロック リストの組み合わせがよく使用されます。このようなシナリオでは、多くの場合、グレー リスト (許可リストまたはブロック リストのいずれにも分類されていない、人、ファイル、アプリ、アルゴリズムなどの項目のコレクション) が必要になります。

グレー リストは一時的な保管場所として機能し、これらのアイテムの適切な分類に関する決定を下すことができます。これは、柔軟なアクセス制御を必要とするシステムで、新規ユーザー、訪問者、または第三者に一時的なアクセスを許可する場合に特に便利です。

信頼できるアプリケーション保護

Trusted Application Protection は、アプリケーションの信頼性に対する信頼度を高めることで、標準的なアプリケーションコントロールを強化します。このテクノロジは、コンテキスト インテリジェンスを重ねることで、高度な脅威アクターに対するセキュリティを強化します。また、組織はファイルレス マルウェアや Living Off the Land (LotL) 攻撃からも保護されます。

アプリケーション制御のプロセス ツリーに追加された追加のコンテキスト( BeyondTrust 英語サイト )により、ブラウザーやドキュメント ハンドラー (Word、PowerPoint、Excel) などのよく使用されるアプリケーションから生成される PowerShell や Wscript などの攻撃チェーン ツールを制限できます。このセキュリティ レイヤーの追加により、信頼され検証されたアプリケーションのみが実行できるようになり、マルウェアや不正なソフトウェアのリスクが軽減されます。アプリケーションの整合性とソースに重点を置くことで、アプリケーション制御の有効性が向上します。

アプリケーションコントロールの利点は何ですか?

アプリケーションコントロールの主な利点と目標は次のとおりです。

アクセス制御

アプリケーション制御により、許可されたアプリケーションのみがアクセスして実行できるようになり、許可されていないアプリケーションや悪意のあるアプリケーションの実行が防止されます。

リスク軽減

許可されるアプリケーションと拒否されるアプリケーションを明確に定義することで、組織はセキュリティ侵害やその他のサイバー脅威の可能性を大幅に減らし、不正なソフトウェアや悪意のあるソフトウェア (フィッシング、ランサムウェア、ファイルレス Living-Off-The-Land (LotL) 攻撃) に関連するリスクを軽減できます。

コンプライアンス

アプリケーション制御は、未承認または悪意のあるプログラムの実行を防ぐことで、組織がサイバーセキュリティの規制や義務に準拠するのに役立ちます。たとえば、環境内で信頼できるアプリケーションのみが実行されるようにすることで、オーストラリア サイバー セキュリティ センターの Essential Eightやその他の規制フレームワークに準拠します。

シャドーITの軽減

許可されていないアプリケーションや承認されていないアプリケーションの実行を制限するアプリケーション制御ポリシーを適用すると、IT 部門の承認なしにユーザーが独自にソフトウェアやツールを採用することに伴うリスクを軽減できます。

インシデント対応

アプリケーション制御には、例外、誤検知、セキュリティ インシデントを効果的に処理するためのインシデント対応プロトコルのフレームワークの作成が理想的です。これにより、確立されたポリシーからの逸脱が発生した場合に、迅速かつ適切に対処できます。

アプリケーションの整合性の強化

信頼できるアプリケーション保護 (TAP) テクノロジは、コンテキストベースのインテリジェント パラメータを使用してアプリケーションの信頼性と整合性を検証することで、セキュリティをさらに強化します。これにより、環境で実行できるアプリケーションの信頼性が高まり、不正なソフトウェアのリスクが軽減されます。

要約すると、アプリケーション制御の主な目的は、重要なリソース、エンドポイント、機密データを保護するため、アプリケーションの実行をきめ細かく制御することです。

アプリケーション制御がシャドーITの削減にどのように役立つか

シャドー IT ( BeyondTrust サイト : 英語 ) とは、IT 部門の明示的な承認なしの情報技術システム、デバイス、ソフトウェア、アプリケーション、およびサービスを使用することです。

ユーザーまたは部門全体が、業務目標を達成するためにこれらのシステムやツールを使用する場合があります。業務を簡素化したり、効率化したり、組織で提供しているもの以外の機能やサービスを強化したりする場合でも、未承認のアプリケーションは依然として大きな脅威となる可能性があります。

シャドー IT は、通常、悪意を持って導入されるものではありません。多くの場合、シャドー IT は、生産性や期限が迫っているタスクの完了を妨げる非効率性や行き詰まりに直面したユーザーが原因です。

アプリケーション制御は、不正または承認されていないアプリケーションの実行を制限するポリシーを適用することで、シャドー IT の試みを阻止または抑制できます。

アプリケーション制御とサイバーセキュリティコンプライアンス

Essential Eight は、オーストラリア サイバー セキュリティ センター(ACSC) が、最も一般的な攻撃ベクトルに対する組織のサイバー防御を強化するために設計した、サイバーセキュリティ リスク軽減戦略の優先順位リストです。オーストラリア政府の各省庁や機関に義務付けられています。多くの民間組織も、この義務とベスト プラクティスを実装しています。

アプリケーション制御は、ACSC によって概説された 8 つの緩和戦略の最初のものであり、次のように定義されています。

「.exe、DLL、スクリプト (Windows Script Host、PowerShell、HTA など)、インストーラーなどの承認されていない/悪意のあるプログラムの実行を防止するアプリケーション制御。」

以下では、組織がアプリケーション制御を実装し、適切に実行してコンプライアンスを実現する方法について詳しく説明します。

アプリケーション制御をどのように実装しますか?

ほとんどの組織がアプリケーション制御に取り組む場合、次の手順の一部またはすべてに従う傾向があります。

評価

重要なアプリケーションと潜在的なリスクを検出して文書化します。組織のセキュリティ目標に必要な制御レベルを決定します。

ポリシーの作成

信頼できるソース、発行元、ディレクトリ、および動作を考慮して、許可リスト、ブロックリスト、またはその組み合わせに基づいてアプリケーション制御ポリシーを開発します。

テスト

制御された環境でポリシーをテストし、中断を引き起こすことなく意図したとおりに機能することを確認します。

展開

セキュリティ ツール、グループ ポリシー、またはサードパーティ ソフトウェアを使用して、ポリシーを対象システムに展開します。

監視

アプリケーション、脅威、セキュリティ要件の変化に適応するために、ポリシーを継続的に監視および更新します。

インシデント対応

例外、誤検知、セキュリティ インシデントを処理するためのプロトコルを確立します。

これらの手順は、アプリケーション制御を実装するための確実な出発点となりますが、プロセスに課題がないわけではないことを認識することが重要です。展開、監視、インシデント対応に伴う複雑さにより、このアプローチは一時的な解決策にしかならない可能性があります。

さらに、脅威の状況は絶えず進化しており、サイバー攻撃者は現在、新たな AI や捉えどころのないファイルレス マルウェアを活用するなど、高度な戦術を採用しています。

アプリケーション制御に対するデフォルト拒否アプローチ

多くのアプリケーション制御ソリューション プロバイダーは、「デフォルト拒否」アプローチを採用しており、許可リストに登録されたアプリケーションのみ実行が許可されます。これらのソリューションは、信頼できるアプリケーション ハッシュの包括的なカタログを提供し、管理を簡素化し、新しいソリューションのエントリを微調整するための動的なガイダンスを提供します。このようなガイダンスの例は次のとおりです。

  • • 信頼できる発行元に登録されたアプリケーションは信頼できるとみなされます。
  • インストールは、信頼できるソフトウェア配信システムを通じてのみ実行する必要があります。
  • 指定された信頼できるディレクトリからの起動またはインストールが必要です。
  • 新しいバージョンとインストールには信頼できるアップデータが必要です。

これらのアクションには通常、管理者権限が必要であり、標準ユーザーには制限されています。アプリケーション制御ベンダーは通常、アプリケーションの信頼性のしきい値を設定し、ファイルの評判を決定し、グレーリストのパラメータを確立するための数学モデルを考案します。

リスク管理のためのアプリケーション制御を超えて

多くの組織では、許可リストと拒否リストの複雑さとそれに伴う管理コストのために、効果的に実装することが困難になっています。これらのリストはエンドポイント セキュリティ( BeyondTrust 英語サイト )に顕著なメリットをもたらしますが、制限が多く、維持に手間がかかり、費用も高いため、データセンターやキオスクなどの小規模な展開でしか使用できないことがよくあります。

ただし、許可リストと拒否リストを権限管理戦略に統合すると、プロセスが大幅に効率化されます。最新の PAM ソリューション は、エンドユーザーの生産性を妨げることなく、Windows、macOS、Unix、Linux、ネットワーク デバイス上のアプリケーションを細かく制御できます。

ローカル管理者権限を持つユーザーは、重要なシステム フォルダーを含むオペレーティング システムとすべてのアプリケーションに広範囲にアクセスできます。多数のアプリケーションが頻繁に更新されるため、これらのフォルダーの許可リストを維持することは現実的ではありません。

逆に、標準ユーザー アカウントには、これらのセキュリティ保護されたフォルダーを許可なく変更する権限がないため、信頼性が高まります。許可リストと権限管理を組み合わせることで、より効率的かつコスト効率よく、より高いレベルのエンドポイント セキュリティを実現できます。

アプリケーション制御が企業を保護する方法について詳しく知る

関連記事: ( BeyondTrust 英語サイト )

アプリケーション制御と許可/拒否リストを使用してマルウェア、脅威アクター、LotL エクスプロイトから保護する

信頼できるアプリケーション保護がアプリケーション制御とエンドポイント権限管理に基づいて構築される仕組み

最も一般的で最も危険なシャドーITの種類

完全な特権アクセス管理 (PAM) の購入者ガイド

エンドポイント権限管理ガイド