ウイルス対策ソフトやEDRを導入していれば、端末のセキュリティ対策は十分なのでしょうか。
もちろん、ウイルス対策ソフトやEDRは、現在の端末防御において重要な対策です。マルウェアの検知、不審な挙動の監視、感染後の調査や対応などに役立ちます。
しかし、サイバー攻撃は日々巧妙化しています。既知のマルウェアであれば検知できても、まだパターン化されていない未知のマルウェアや、正規ツールを悪用する攻撃、業務上不要なプログラムの実行まで、すべてを完全に防げるわけではありません。
そこで注目される考え方の一つが、「アプリケーション制御」「実行制御」「許可制」による端末防御です。
これは簡単にいうと、危険なものを見つけて止めるだけでなく、そもそも許可していないものを実行させない、という防御の考え方です。
本コラムでは、アプリケーション制御とは何か、ウイルス対策やEDRとの違い、中小企業が導入を検討する際のポイントについて解説します。
アプリケーション制御とは、PCやサーバー上で実行できるアプリケーションやプログラムを制限するセキュリティ対策です。
たとえば、業務で利用するソフトウェア、ブラウザ、表計算ソフト、会計ソフト、社内システムへの接続ツールなど、あらかじめ許可されたものだけを実行できるようにします。
一方で、業務に不要なソフト、不審な実行ファイル、勝手にダウンロードされたツール、攻撃者が持ち込んだプログラムなどは、実行できないように制御します。
このような考え方は、「アプリケーションホワイトリスト」「アプリケーション許可制」「実行制御」などと呼ばれることもあります。
従来のウイルス対策は、危険なものを見つけて止める「検知型」の対策が中心でした(「ブラックリスト方式」)。これに対して、アプリケーション制御は、許可されたもの以外を動かさない「予防型」の対策といえます(「ホワイトリスト方式」)。
サイバー攻撃の多くは、最終的に端末上で何らかのプログラムやスクリプトを実行しようとします。
たとえば、メールの添付ファイルを開かせる、偽サイトからファイルをダウンロードさせる、脆弱性を悪用して不正なコードを動かす、リモート操作ツールを悪用する、といったものです。
このとき、攻撃に使われるファイルやプログラムを検知できればよいのですが、現実にはすべてを事前に見分けることは困難です。
特に近年は、次のような攻撃が増えています。
✖️未知のマルウェアを使う攻撃
✖️正規の管理ツールを悪用する攻撃
✖️スクリプトやマクロを使った攻撃
✖️業務で使っているソフトの脆弱性を突く攻撃
✖️端末に保存された認証情報を狙う攻撃
このような攻撃では、「怪しいものを見つける」だけでなく、「業務上必要ないものを実行させない」という考え方が重要になります。
たとえば、従業員のPCで、普段使わない実行ファイルやスクリプトが突然動こうとした場合、それを止めることができれば、被害の拡大を防げる可能性があります。
アプリケーション制御は、ウイルス対策ソフトやEDRの代わりになるものではありません。
それぞれ役割が異なります。
| ウイルス対策ソフトは、既知のマルウェアや不審なファイルを検知・隔離することを主な目的としています。EDRは、端末上の挙動を監視し、不審な動きがあった場合に検知・調査・対応するための仕組みです。 |
一方、アプリケーション制御は、そもそも許可されていないプログラムや動作を実行させないことに重点があります。
つまり、ウイルス対策やEDRが「見つける」「調べる」「対応する」対策だとすれば、アプリケーション制御は「動かさない」対策です。
どれか一つを選ぶというよりも、組み合わせて使うことで効果を発揮します。
| たとえば、入口対策で不審なメールやWebアクセスを減らし、ウイルス対策やEDRで端末の不審な動きを検知し、アプリケーション制御で許可されていないプログラムの実行を防ぎ、万が一に備えてバックアップも整備しておく。 |
このように、複数の防御策を重ねることが、多層防御の基本です。
(参考)メールとWebが一番狙われる理由とは?中小企業がまず強化すべき「入口対策」
(参考)EDRとは?ウイルス対策ソフトとの違いをわかりやすく解説|中小企業のエンドポイント対策
(参考)バックアップがあっても安心できない?|破壊されるバックアップと対策の考え方
アプリケーション制御を導入することで、次のようなリスクを抑えやすくなります。
| 未知のマルウェアの実行 |
| 未知のマルウェアは、従来型の検知ではすぐに判定できない場合があります。しかし、許可されていないプログラムの実行そのものを制限できれば、検知できるかどうかに関係なく、実行を防げる可能性があります。 |
| 業務外ソフトの利用 |
| 従業員が個人判断でフリーソフトや便利ツールをインストールしてしまうと、ライセンス違反、情報漏えい、マルウェア感染のリスクが高まります。アプリケーション制御は、こうしたシャドーIT対策にもつながります。 |
| 正規ツールの悪用 |
| 攻撃者は、リモート操作ツールや管理用ツールなど、正規のソフトを悪用することがあります。アプリケーション制御では、ソフトの実行可否だけでなく、どのような条件で実行を許可するかを設計することが重要です。 |
| スクリプトやマクロの悪用 |
| 攻撃では、PowerShell※、JavaScript、マクロなどが悪用されることがあります。業務で不要なスクリプトの実行を制限することで、攻撃の足がかりを減らすことができます。 |
※PowerShellとは、Windowsに標準搭載されている管理用ツールの一つで、コマンドを使ってPCやサーバーの設定変更、ファイル操作、ソフトの実行などを自動化できます。便利な一方、攻撃者に悪用されると不正プログラムの実行や情報収集に使われることがあるため、不要な実行を制限することが重要です。
アプリケーション制御は有効な対策ですが、導入すればすぐに安全になるというものではありません。特に中小企業では、次の点に注意が必要です。
| いきなり厳しくしすぎない |
|
許可制を厳しくしすぎると、業務に必要なソフトまで動かなくなる可能性があります。業務停止を避けるためには、まずは現在利用しているアプリケーションを棚卸しし、どのソフトが必要なのかを整理することが重要です。 ※最近は、導入初期に「学習モード」を使い、社内のPC環境を自動でホワイトリスト化してくれる使いやすい製品も増えています。 |
| 例外ルールを管理する |
|
業務上、新しいソフトを使う必要が出ることもあります。そのたびに現場任せで例外を増やしてしまうと、制御の意味が薄れてしまいます。 「誰が申請するのか」「誰が許可するのか」「一時的な利用なのか、継続利用なのか」といったルールを決めておく必要があります。 |
| 管理者権限とセットで考える |
| 従業員が自由にソフトをインストールできる状態では、アプリケーション制御の効果は限定的になります。ローカル管理者権限の見直しや、不要な権限の削除と組み合わせることが大切です。 |
| アップデートやバックアップの代わりにはならない |
|
アプリケーション制御は、あくまで端末防御の一部です。OSやソフトウェアのアップデート、脆弱性管理、バックアップ、EDR、メール対策などを不要にするものではありません。 特にランサムウェア対策では、侵入を防ぐ対策とあわせて、被害を受けた場合に復旧できるバックアップ体制も重要です。 |
アプリケーション制御は、特に次のような企業に向いています。
|
すべての端末に一斉導入するのが難しい場合は、重要な端末から段階的に始める方法もあります。
たとえば、経理端末、管理者端末、サーバー管理用端末、個人情報を扱う部署のPCなど、リスクの高い端末から優先して検討するとよいでしょう。
また、IT専任者がおらず管理が不安な場合は、「運用代行サービス付きの製品」や、「EDRなど他の機能とセットで管理できるソリューション」を選択肢に入れるのが近道です。
アプリケーション制御を検討する際は、まず次のような項目を整理しましょう。
| ・社内で利用している業務アプリケーション | |
| ・従業員が自由にインストールできる状態かどうか | |
| ・管理者権限を持っている端末や利用者 | |
| ・業務上必要なスクリプトやマクロ | |
| ・リモート操作ツールや管理ツールの利用状況 | |
| ・例外申請や承認のルール | |
| ・EDR、ウイルス対策、SASE、バックアップなど既存対策との関係 |
この整理を行わずに導入すると、「必要なソフトが動かない」「例外設定が増えすぎる」「誰も運用できない」といった問題が起きやすくなります。
アプリケーション制御は、製品を入れるだけで完結する対策ではなく、業務とセキュリティのバランスを見ながら運用する対策です。
(参考)SASEとは?VPNやUTMと何が違う?中小企業が知っておきたい次世代のセキュリティ対策
ウイルス対策ソフトやEDRは、端末防御において重要な対策です。しかし、それだけですべての攻撃を防げるわけではありません。
未知のマルウェア、正規ツールの悪用、業務外ソフトの利用、スクリプトの悪用などに備えるには、「許可されていないものを実行させない」というアプリケーション制御の考え方も有効です。
ただし、アプリケーション制御は単独で万能な対策ではありません。メール対策、Web対策、EDR、SASE、脆弱性管理、権限管理、バックアップなどと組み合わせることで、より現実的な多層防御になります。
中小企業にとって重要なのは、最初から完璧を目指すことではありません。
まずは、自社でどの端末が重要なのか、どのアプリケーションが本当に必要なのか、従業員が自由にソフトを入れられる状態になっていないかを確認することから始めてみてください。
「検知して対応する」だけでなく、「そもそも実行させない」防御層を加えることが、これからの端末防御を考えるうえで重要な視点になります。
LYSTでは、「今の対策のままで大丈夫?」「最低限の対策は取っているはずだけど、まだ必要?」「そもそもどんなセキュリティ対策をすればよいか分からない」など、抱えている貴社のお悩みに合わせて一緒に必要な対策を見てまいります。お気軽にご相談ください。