ホワイトリストとは、安全と評価した対象をまとめたリストです。ホワイトリストに登録されたアプリケーションやIPアドレスを許可し、登録されていない場合はブロックする仕組みです。ホワイトリストには、主に以下の内容が登録され、フィルタリングの判断材料となります。

一方、ホワイトリストとは別にブラックリストもあります。近年はセキュリティ対策として、ホワイトリストを採用するケースが多くなりましたが、ブラックリストを採用する場合もあります。

ここではホワイトリストの詳細、ブラックリストとの違い、ホワイトリスト方式のメリット、デメリットを見ていきましょう。

ホワイトリストとブラックリストは、どちらもメリットとデメリットがあり、一方が優れているということはありません。いずれを採用するかは、個々の事情に合わせて選択する必要があります。

セキュリティへの対策として考えた場合、安全と評価した相手のみを許可するホワイトリストの方が、一般的にセキュリティが高くなります。

ブラックリストとは、危険と評価した対象をまとめたリストです。ブラックリストに載ったアプリケーションやIPアドレス等をブロックする方式を、「ブラックリスト方式」と呼びます。

サイバー攻撃で利用されるC&Cサーバや、フィッシングサイトが主なブラックリストの登録対象です。C&Cサーバやフィッシングサイトは日々増え続けているため、信頼できるセキュリティベンダーが提供するリストを自動的に取り込み、常に最新のブラックリストを維持する必要があります。

ただし、未知のC&Cサーバやフィッシングサイトはセキュリティベンダーも把握できないため、ブラックリストに登録されず、ブロックできない恐れがあります。

ブラックリストとホワイトリストの違いは、安全と評価できる対象か否かの違いです。セキュリティ対策としては、ブラックリスト方式が通信を拒否する対象を管理する仕組みに対して、ホワイトリスト方式は通信を許可する対象を管理する仕組みになります。

例えば社内システムのように社内と支所からのみアクセスされる場合は、ホワイトリスト方式を使います。これは社内と支所が安全と評価できるためであり、それ以外は全て安全ではないと識別できるためです。一方、ECサイトのように不特定多数からアクセスされる場合は、相手が安全かどうか評価できないため、ブラックリスト方式を用います。

ただし、社内からの内部不正は見抜けません。ホワイトリスト方式を採用しているからと言っても、万全ではありません。

ホワイトリスト方式の仕組みは、通信やアプリケーションが起動するたびにホワイトリストを参照し、ホワイトリストに載っていれば実行を許可、載っていなければブロックします。リストに載っていない対象は、一切起動しないことで安全性を確保する方式です。

ホワイトリスト方式の例として、子供向け携帯電話があります。子供向け携帯電話は、連絡先に登録した電話番号しか通話できません。子供向け携帯電話は、不審な電話番号からの着信がないホワイトリスト方式の方が安全といえます。

ホワイトリストは安全と評価した対象のみを取り扱うため、一般的にブラックリスト方式に比べてセキュリティが高くなります。その他にもホワイトリストの採用で様々なメリットがあります。ここでは、具体的なメリットを見ていきましょう。

メリットの1つは、リストの更新頻度が少なくすむ点が挙げられます。ホワイトリストは安全と評価した対象のみを登録するため、新たなマルウェアやフィッシングサイトが生じたとしても、ホワイトリストへの登録は不要です。そのため日々更新していく必要がなく、更新頻度が少なくすみます。

またウィルス対策ソフトのように、パターンの更新といった日々のメンテナンスが必要ありません。そのため、インターネットを利用しない閉じたネットワークでも運用が可能です。

メリットの2つ目は、事前知識が不要という点が挙げられます。これは新たなマルウェアが発生したとしても、ホワイトリストに登録しなければ、攻撃者によるマルウェアの実行をブロックできるためです。つまり新たな脅威に対抗するための調査や、対策といった事前知識が不要です。

メリットの3つ目は、無許可のものはブロックするという点が挙げられます。例えば、ユーザが無許可でアプリケーションをインストールしても、ホワイトリストに登録されていないため、アプリケーションはブロックされます。同様に、許可されていないWebサイトやサービスもブロックされます。無許可のものをブロックするという動きは、セキュリティ対策として非常に大きなメリットです。

メリットの4つ目は、総合的にセキュリティ力が高い点です。動作の対象を安全と評価できる相手に絞り込むため、安全性が高くなります。ホワイトリストに登録しない限り、メリット2にあるように、攻撃者による新たなマルウェアの実行をブロックしたり、メリット3にあるように、無許可のアプリケーションをブロックしたりできます。そのため、総合的にセキュリティ力が高いといえます。

ホワイトリストにはデメリットも存在します。ホワイトリストのデメリットを理解し、対策を講じなければ、強度の高いセキュリティ対策を維持できなくなります。高いセキュリティレベルを維持するために、ホワイトリストのデメリットを見ていきましょう。

デメリットの1つ目は、過検知・誤検知を起こす点です。ホワイトリストの前提は、あらかじめ許可する対象を登録することです。そのため、新たなサービスを導入する際に、ホワイトリストに全て登録する必要があります。登録が漏れると、誤検知を起こし必要なサービスが利用できません。

例えば、クラウドサービスへの許可をホワイトリスト方式にした場合です。新たなクラウドサービスを追加するたびに、ホワイトリストに追加登録が必要です。登録が漏れた場合は、必要な業務が行えず機会の損失を招く結果になりかねません。

また、今まで利用していたサービスを解約する場合は、ホワイトリストから削除しなければなりません。ホワイトリストからの削除が漏れると、過検知を起こす原因になります。

デメリットの2つ目は、定期的なリストの見直しが必要な点です。例えば、ホワイトリストを利用して、一部のパソコンにアクセスを許可している場合、パソコンが故障や更改などで入れ替わると、ホワイトリストも更新が必要になります。また、デメリット1と同様に、利用していたサービスを解約する場合は、ホワイトリストの削除が必要になります。

以上の理由により、ホワイトリストは定期的に見直しが必要です。

デメリットの3つ目は、防御性と運用性の関係です。ホワイトリストは、許可する対象のみを登録して防御性を向上させています。一方、ホワイトリストを大量に登録すると、運用性は向上しますが、許可する対象が増えるため、防御性は低下します。つまり、防御性と運用性は相反する関係です。

近年のサービスは、複数のクラウドサービスを複合的に利用するシステムが多いため、ホワイトリストの登録対象も増加しています。ホワイトリストに登録したWebサイトやサービスが、マルウェアや不正なアクセスにより、汚染されるリスクも考慮が必要です。

ホワイトリストの拡大は、セキュリティホールも拡大させる要因になりえるという認識が必要です。そのため、防御性と運用性のバランスが重要となります。

デメリットの4つ目は、リストの運用が煩雑な点です。ホワイトリストの作成は、許可する対象をリストアップしなければなりません。リストアップする手間と、リストアップした相手がホワイトリストに相応しいセキュリティ対策の仕組みを持っているかを、確認する必要があります。

また一時的にサービスやアプリケーションを利用したい場合、ホワイトリストに追加してもらう必要があります。一時的な利用が終わった後、すみやかにホワイトリストから削除する必要もあり、リストの運用が煩雑です。

デメリットの5つ目は、定期的な監査が必要な点です。例えば、相手企業が不正行為を行った場合や、マルウェアに感染した場合、事情を確認したうえで、ホワイトリストから削除するか否かを判断する必要があります。ただし、必ずしも相手先から報告があるとは限りません。そのため、定期的にホワイトリストの登録先を監査し、問題ないかの確認が必要です。

また、ホワイトリストを悪用した、内部の不正行為も考慮が必要です。不正行為が行われていないか、定期的なログの監査が重要です。

昨今のセキュリティ意識の向上にともない、ホワイトリストは広く利用されています。ブラックリストとの使い分けは必要ですが、ホワイトリストの活用で、より強度の高いセキュリティ対策が期待できます。ここでは、ホワイトリストの活用方法にはどのようなものがあるか見ていきましょう。

ホワイトリストの活用法の1つに、Webサイトのフィルタリングがあります。例えば、生徒が授業中に必要のないWebサイトを閲覧しないように、認められたWebサイトのみに利用を制限する場合です。授業で利用するWebサイトのみを、ホワイトリストに登録します。

その他、企業がインターネットの利用を禁じつつ、特定のクラウドサービスを利用する場合です。この場合、ホワイトリストにはクラウドサービスのWebサイトを登録します。IPアドレスではなくWebサイトを登録する理由は、サービス提供元が仕様変更などでIPアドレスを変更する場合があるためです。Webサイトの登録であれば、IPアドレスが変更されても、ホワイトリストに影響がありません。

ホワイトリストの活用例の1つに、IPアドレス制限があります。例えば、自社のホームページをクラウドで運用する場合です。ホワイトリストにIPアドレスを登録し、更新権限のみホワイトリストでフィルタリングします。すると、ホームページの参照はどこからでもできますが、更新作業は自社のみに限定できるため、改ざん防止に有効です。

その他、社内システムを持つ企業では、社内と支所のIPアドレスを登録し、それ以外はブロックする活用方法もあります。

ホワイトリストは、安全と評価できる対象のみを許可する方式のため、不正なアクセスが発生しにくい仕組みを持つ有効なセキュリティ対策です。デメリットへの対策は必要ですが、ホワイトリストのメリットを有効活用し、安全な環境を構築しましょう。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。