制御システム向けの端末防御技術「ホワイトリスト型ウイルス対策」とは?制御システム技術者のためのセキュリティ基礎講座(5)(1/3 ページ)

制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する本連載。具体的な防御手段として、「多層防御」と「状況認識」について解説した前回に続き、今回は「ホワイトリスト型ウイルス対策」を紹介する。

» 2014年04月07日 10時00分 公開
[佐々木 弘志 / マカフィー,MONOist]
マカフィー

 「制御システム技術者」への情報提供と注意喚起を目的としている本連載。前回の『制御システムの守り方――カギを握る「多層防御」と「状況認識」』では、制御システムセキュリティにおける具体的な防御策として、ポイントとなる「多層防御」と「状況認識」について解説した。

 今回は、その防御策の中から、制御システム向けのセキュリティ対策として最近注目を集めている「ホワイトリスト型ウイルス対策※1)に焦点を当てて説明する。

※1)「マルウェア対策」ともいうが、アンチウイルスソフトを引き合いに出して説明する都合上、ここでは「ウイルス対策」という言葉を用いる。



ブラックリストとホワイトリストとの違い

 ホワイトリスト型ウイルス対策について紹介する前に、まず「ブラックリスト型」と「ホワイトリスト型」の違いについて説明する。

 オフィスや家庭でも使用されている通常のウイルス対策ソフトとして知られるアンチウイルスソフトは、大抵ブラックリスト型と呼ばれる方法をベース※2)としている。ブラックリスト型の対策は、日々世の中で発生するマルウェア情報を集めた「悪いもの(ブラック)リスト」(定義ファイル、パターンファイル)を用いて、マルウェアを検知する方法だ。パソコン内を「スキャン」することで、リストとパソコンのハードディスクにあるファイルを照合し、一致したものをマルウェアとして検知するという仕組みになっている。

※2)定義ファイルに依存するブラックリスト型だけではなく、アプリケーションの振る舞いを解析して検知する一般向けのウイルス対策ソフトも存在はしている。

 これに対し、ホワイトリスト型の対策はこの正反対のアプローチでマルウェアを防ぐものだ。動作して良いと判断した「良いもの(ホワイト)リスト」を作り、これ以外のアプリケーションを起動しないように制限を掛ける

ものである。これによって、リストに存在しないマルウェアの実行を防止することができる。図1にそれぞれの対策の特徴をまとめた。

図1 図1:ブラックリスト型とホワイトリスト型の対策の違い(出典:マカフィー)

ホワイトリスト型が制御システムに向く理由

 では、なぜホワイトリスト型が「制御システムに向いている」のだろうか? それは、ホワイトリスト型の対策であれば、制御システムのウイルス対策ソフトにおいて課題となっていた以下の問題を解決できるからだ。

  • ブラックリスト型ではインターネットにつながっていないパソコン内の定義ファイルの更新が面倒。

⇒ホワイトリスト型対策ではインターネットに接続する必要がない

  • 可用性を重視するため、OSやソフトやパッチなどの変更がなかなかできない。

⇒ホワイトリスト型対策では、一度ホワイトリストを作成してしまえば、登録されたアプリケーションに変更がない限りシステムの更新が不要。

  • ブラックリスト型で必要なスキャン処理が制御システムの可用性を損なう場合がある

⇒ホワイトリスト型対策は、アプリケーションの起動時のチェックなので制御システムの実動作への負荷が少ない

  • USBメモリによるマルウェア感染が多い。

⇒ホワイトリスト型対策では、USBメモリ内のマルウェアは、ホワイトリストに存在しないため実行が阻止される

 これらの問題がホワイトリスト型により対応可能であるため、制御システムセキュリティにおいて注目を集めているのだ。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.