ブラックリストとホワイトリストの比較

デバイスまたはネットワークを潜在的脅威から保護するには、アクセスを制御する必要があります。 これには、明確に定義された境界とその境界を防御する方法が必要です。 また、どのエンティティにアクセスを許可し、どれをブロックするかを決定する必要があります。

どのエンティティがシステムにアクセスできるかを管理するために使用される 2 つの主要なアプローチ、ブラックリストとホワイトリストがあります。 どちらの方法にも長所と短所があり、使用するのに最適なアプローチについて誰もが同意しているわけではありません。 正しい選択は、組織のニーズと目標に大きく依存し、多くの場合、理想的な戦術は、両方の組み合わせです。

ブラックリストとは

ブラックリストのアプローチでは、どのエンティティをブロックすべきかを定義します。 ブラックリストとは、ネットワークやシステム上でアクセスや実行権を拒否されるべき、疑わしい、または悪意のあるエンティティのリストです。

物理世界の例として、国境管理当局が既知または疑わしいテロリストのブラックリストを保持している場合があります。 また、ある店のオーナーは万引き犯のブラックリストを所持しているかもしれません。 ネットワーク セキュリティの世界では、ブラックリストは、ウイルス、スパイウェア、トロイの木馬、ワーム、その他の種類のマルウェアなど、悪意のあるソフトウェアで構成されていることがよくあります。 また、ユーザー、IPアドレス、アプリケーション、電子メールアドレス、ドメイン、プロセス、または組織のブラックリストを作成することも可能です。 ブラックリストは、ネットワークのほぼすべての側面に適用できます。

疑わしい、または悪意のあるエンティティは、デジタル署名、ヒューリスティック、動作、または他の手段によって識別することができます。 アプリケーションをブラックリスト化するために、組織は独自のブラックリストを作成したり、ネットワーク セキュリティ サービス プロバイダーなどのサード パーティが作成したリストを使用したりすることができます。 ブラックリストは、アクセス制御の伝統的なアプローチであり、アンチウイルス ツール、スパム フィルタ、侵入検知システム、およびその他のセキュリティ ソフトウェア プログラムによって長い間使用されてきました。 ブラックリストにないエンティティはアクセスを許可されますが、脅威であることが知られている、または予想されるものはブロックされます。

要約すると、

• ブラックリストには、疑わしいまたは悪質なエンティティへのアクセスをブロックする機能があります。
• デフォルトでは、アクセスを許可します。
• ブラックリストは脅威中心です。 既知の脅威や疑わしい脅威を特定し、そのアクセスを拒否し、それ以外は放っておくという、単純な原則に基づいて動作します。 多くの場合、セキュリティ ソフトウェアまたはセキュリティ サービス プロバイダーが、ユーザーからの入力をほとんど必要とせずにリストの編集を行います。 IT セキュリティを研究している AV-TEST Institute では、毎日 35 万件以上の新しい悪意のあるプログラムや潜在的に望ましくないアプリケーションを登録しています。 これらの脅威に対応することは困難ですが、脅威情報を共有することで、ブラックリストをより効果的にすることができます。

  情報を共有しても、セキュリティ ソフトウェア プロバイダーは、脅威の数が多すぎるために見逃してしまうことがあります。 ブラックリストは既知の脅威に対しては有効ですが、ゼロデイ攻撃のような新しい未知の脅威に対しては役に立ちません。 また、ハッカーは、ブラックリスト システムを使用するツールによる検出を回避するために、特別にマルウェアを設計することもあります。

  ホワイトリストとは

  ホワイトリストは、ブラックリストと同じ課題に取り組みますが、逆のアプローチを使用します。 脅威のリストを作成するのではなく、許可されたエンティティのリストを作成し、それ以外はすべてブロックします。 これは信頼に基づくもので、許容されることが証明されない限り、新しいものはすべて拒否されるのがデフォルトです。 この結果、アクセス制御はより厳格になります。 たとえば、ファイアウォールが特定の IP アドレスにネットワークへのアクセスを許可するだけなら、それはホワイトリストのアプローチを使用していることになります。 ほとんどの人が扱ったことのあるもう 1 つの例は、Apple のアプリケーション ストアです。 同社は、Apple が承認し、app store に許可したアプリケーションのみをユーザーに実行させます。

  ホワイトリストに使用できる最も簡単な手法は、アプリケーションをファイル名、サイズ、およびディレクトリ パスによって識別することです。 しかし、この手法の問題は、ハッカーがホワイトリストに登録されたアプリケーションと同じファイル名とサイズのアプリケーションを作成し、システムに入り込むことを可能にすることです。 この可能性に対処するには、米国国立標準技術研究所（NIST）が推奨する、より厳格な方法を使用することができます。 これには、暗号化ハッシュ技術と、各コンポーネントの製造元または開発元のデジタル署名を使用します。

  ネットワーク レベルのホワイトリストを作成するには、ユーザーが実行する必要があるすべてのタスクと、それらを完了するために必要となるツールを考慮する必要があります。 このネットワーク レベルのホワイトリストには、ネットワーク インフラ、サイト、場所、アプリケーション、ユーザー、契約者、サービス、およびポートだけでなく、アプリケーションの依存関係、ソフトウェア ライブラリ、プラグイン、拡張機能、および構成ファイルなどのより細かい詳細が含まれる場合があります。 ユーザーレベルでは、ホワイトリストには電子メールアドレス、ファイル、プログラムが含まれるかもしれません。 ホワイトリストのアプローチを使用するには、ユーザー権限だけでなく、ユーザーの活動も考慮する必要があります。

  組織は、独自のホワイトリストを作成するか、一般に評価ベースのホワイトリストを作成し、年齢、デジタル署名、およびその他の要因に基づいてソフトウェアおよびその他のアイテムに評価を与えるサード パーティと連携することが可能です。

  要約すると、

  • ホワイトリストには、承認されたエンティティにのみアクセスを許可することが含まれます。
  • デフォルトはアクセスをブロックすることです。

  ホワイトリストの長所と短所は何ですか。

  ホワイトリストは、ブラックリストよりもはるかに厳格なアクセス制御のアプローチで、デフォルトではアイテムを拒否し、安全が証明されたものだけを入れるようになっています。 これは、ホワイトリストのアプローチを使用する場合、悪意のある誰かがシステムにアクセスするリスクがはるかに低いことを意味します。

  ホワイトリストはより強力なセキュリティを提供しますが、実装がより複雑になることもあります。 使用するアプリケーションの情報が必要なため、ホワイトリストの作成を第三者に委任することは困難です。 各組織に固有の情報が必要なため、ユーザーからのインプットが多くなる。 ほとんどの組織では、使用するツールを定期的に変更しているため、新しいアプリケーションをインストールしたり、既存のアプリケーションにパッチを適用したりするたびに、ホワイトリストを更新する必要がある。 管理上、ホワイトリストはユーザーにとってより複雑になる可能性があり、特に、大規模で複雑なシステムを使用している場合はそうです。 好きなものを何でもインストールできるわけではないので、ユーザーの創造性や実行可能なタスクが制限されます。 また、ホワイトリストに登録すると、必要なトラフィックがブロックされる可能性がありますが、これは、他のアプリケーションよりも一部のアプリケーションで高い可能性です。 その名前が示すように、ブラックリストとホワイトリストの中間のようなものです。 グレーリストは、良性または悪性のどちらかであることがまだ確認されていないアイテムを置くことができるリストです。 グレーリストに登録されたアイテムは、一時的にシステムへのアクセスが禁止されます。 アイテムがグレーリストに登録された後、さらに精査したり、より多くの情報を収集したりして、許可すべきかどうかを判断します。 理想的には、グレーリストに長くとどまらず、すぐにブラックリストまたはホワイトリストに移動します。

  グレーリストに登録されたアイテムをどうするかは、それがどのようなエンティティであるかによって決まります。 たとえば、セキュリティ ツールは、ユーザーまたはネットワーク管理者に決定を促すかもしれません。

  Graylist の使用例の 1 つに、電子メールがあります。 スパム フィルタがメッセージを受け入れるかどうかわからない場合、そのメッセージを一時的にブロックすることができます。 送信者が指定された期間内に再びメッセージを送信しようとすると、配信されます。 そうでない場合は、そのメッセージを拒否する。 この仕組みの背景には、スパムの多くは実際のユーザーではなく、スパムを送信するために設計されたアプリケーションから送られてくるため、一時的にブロックされたというメッセージを受け取ったとしても、メールを再送信しようとはしない、という考え方があるのだそうです。

  どのアプローチを使うべきか

  では、どのアプローチが正しいのでしょうか。

  ブラックリストを使用する場合

  ブラックリストは、ユーザーがシステムに簡単にアクセスできるようにしたい場合や、管理者の労力を最小限に抑えたい場合に適した選択と言えます。

  ブラックリストは、伝統的にセキュリティ チームが使用する最も一般的なアプローチですが、これは、システムを設計するとき、できるだけ多くの人がアクセスできるようにしたいと考えることが多いためです。 たとえば、e コマース ストアは、正当な顧客が購入できないようにするよりも、時折発生する詐欺的なトランザクションを危険にさらす方がましでしょう。

  一般に何かを提供し、それを使用できる人の数を最大化したい場合、ブラックリストは一般的に最良のアプローチです。

  • 一般人が e コマースストアなどのシステムを使用できるようにしたい場合です。
  • 制限の少ない環境を希望する場合。

  ホワイトリストを使用する場合

  一方、セキュリティを最大限に高めたいが、余計な管理作業やアクセス制限が気にならない場合、ホワイトリストが最適な選択肢となります。 ホワイト リスト化は、厳格なアクセス制御とセキュリティが重要な場合に最適です。

  ホワイト リスト化は、公開されていないシステムでうまく機能します。 たとえば、会社の一部の従業員だけがアクセスする必要があるアプリケーションがある場合、その従業員のコンピューターの IP アドレスをホワイトリストに登録し、その他のすべての IP アドレスがアプリケーションにアクセスするのをブロックすることができます。 これは、特定のタイプの動作をホワイトリストに登録することで実現できます。 例えば、ある特定のタスクを実行するためにのみ使用するコンピューターがあるとします。 例えば、ホテルのロビーに、宿泊客がログインするために使うコンピューターがあるとします。 ホテルのウェブサイトをホワイトリストに登録し、宿泊客がそのデバイスでアクセスできる唯一のサイトとすることができます。 別の例として、マイクロサービスが特定の量のリソースを消費するか、特定のホスト上で実行することを許可するが、それ以上のリソースを使用するか、新しいホストに移動しようとするとシャットダウンするポリシーを作成することができます。

  Whitelisting を使用するのは以下のような場合です:

  • 一部のユーザー グループのみがシステムを使用する必要がある。
  • より管理された環境を希望する。
  • より多くの管理労力を投資しても構わない。
    

    ブラックリストとホワイトリストを併用する

    多くの場合、ブラックリストとホワイトリストを併用することが理想的な選択肢です。 たとえば、セキュリティ ソフトウェアを使用したマルウェアや命令の検出にはブラックリストのアプローチを使用し、ネットワーク全体へのアクセスの制御にはホワイトリストのアプローチを使用するとよいでしょう。 また、IP アドレスに基づいてホストをブラックリスト化する一方、希望するアプリケーションの動作をホワイトリスト化することもできます。 しかし、同時に、それらの地域内にいる悪意のあるユーザーのブラックリストを作成することもできます。

    多くの組織が、セキュリティ戦略のさまざまな部分でブラックリストとホワイトリストの両方を使用しています。 たとえば、パスワードを使用してコンピュータまたはアカウントへのアクセスを制御することは、ホワイトリスト化です。 パスワードを持っている人だけがアクセスを許可され、それ以外の人は入ることができません。

    Improve Your Network Security With Consolidated Technologies, Inc.

    

    アクセス制御は、ネットワーク セキュリティの中心です。 ブラックリストとホワイトリストは、どちらもネットワークへのアクセスを制御し、データを安全に保つための正当なアプローチです。

    Consolodated Technologies, Inc.の専門家は、どのサイバーセキュリティ戦略が組織に最適かを把握し、セキュリティ目標を達成するための幅広いソリューションを提供することができます。 ファイアウォール・ソリューション、ネットワーク脆弱性評価、コンプライアンス支援、そして包括的なマネージド・セキュリティ・ソリューションまで提供します。 どのようなサイバーセキュリティ戦略やソリューションが適しているか、当社の専門家に相談したい場合は、今すぐご連絡ください。