アプリケーション制御(アプリケーションセ<bos>イギョ)とは | 意味や読み方など丁寧でわかりやすい用語解説

アプリケーション制御とは、コンピュータシステム上で実行されるソフトウェア、すなわちアプリケーションの動作を管理・制限するセキュリティ技術である。その主な目的は、組織が定めたセキュリティポリシーに基づき、許可されたアプリケーションのみの実行や通信を許可し、マルウェアのような不正なプログラムや、業務に不要なアプリケーションの活動を阻止することにある。これにより、サイバー攻撃による被害の防止、内部からの情報漏洩のリスク低減、そして従業員の生産性向上といった効果が期待される。従来のファイアウォールがIPアドレスやポート番号といったネットワークレベルの情報で通信を制御していたのに対し、アプリケーション制御は「どのアプリケーションが」通信しているかという、より上位のレイヤーで識別・制御を行う点に特徴がある。

アプリケーション制御を実現するための基本的なアプローチには、「ホワイトリスト方式」と「ブラックリスト方式」の二つが存在する。ホワイトリスト方式は、「許可されたもの以外はすべて禁止する」という原則に基づき、業務に必要で安全性が確認されたアプリケーションのリストを作成し、そのリストに掲載されたものだけ実行を許可する。この方法は、未知のマルウェアであってもリストに含まれていなければ実行を防げるため、非常に高いセキュリティレベルを確保できる。しかし、新しいソフトウェアの導入や既存ソフトウェアのバージョンアップのたびにリストを更新する必要があり、運用管理の負荷が高くなるという側面も持つ。一方、ブラックリスト方式は、「禁止されたもの以外はすべて許可する」という原則に立ち、既知のマルウェアや脆弱性のあるソフトウェア、業務上使用を禁止したいソフトウェアなどをリストに登録し、それらの実行を拒否する。運用はホワイトリスト方式に比べて容易だが、リストに登録されていない未知の脅威に対しては無力であるという弱点がある。近年では、両者の長所を組み合わせたハイブリッド方式も採用されている。

システムがアプリケーションを正確に識別するためには、複数の技術が用いられる。最も単純な方法はファイル名や実行ファイルのパスを指定することだが、これらは容易に偽装が可能であるため、セキュリティレベルは低い。より信頼性の高い方法として、ファイルの内容から一意の値を算出する「ハッシュ値」を利用する手法がある。ファイルがわずかでも変更されるとハッシュ値は全く異なる値になるため、マルウェアによる改ざんを検知できる。また、ソフトウェアの開発元がその正当性を保証するために付与する「デジタル署名」を検証する方法も一般的である。これにより、信頼できる発行元からのアプリケーションのみを許可することができる。さらに、クラウド上の膨大なデータベースを参照し、世界中のアプリケーションの安全性に関する評判情報に基づいて実行可否を判断する「レピュテーション」という技術も広く活用されており、最新の脅威情報に迅速に対応することが可能となる。

アプリケーション制御は、単にアプリケーションの起動を許可または拒否するだけにとどまらない。より詳細なレベルでの制御が可能である。例えば、特定のアプリケーションによるネットワーク通信を監視し、業務で利用するクラウドストレージへのアクセスは許可するが、個人のSNSへのファイルアップロードはブロックするといった、通信内容に基づいたきめ細かな制御が行える。また、アプリケーションが持つ特定の機能、例えばマクロの実行、USBメモリなどの外部デバイスへのデータ書き込み、システム設定の変更といった個別の操作をピンポイントで制限することもできる。これにより、正規のアプリケーションが意図せず悪用されるリスクを効果的に低減させることが可能となる。

この技術は、エンドポイントセキュリティ製品であるEPP（Endpoint Protection Platform）やEDR（Endpoint Detection and Response）、あるいはネットワークセキュリティ製品である次世代ファイアウォール（NGFW）やセキュアWebゲートウェイ（SWG）といった、様々なセキュリティソリューションの中核機能として実装されている。アプリケーション制御を適切に導入・運用することで、ゼロデイ攻撃のような未知の脅威への防御力を高め、管理部門が把握していないITツール、いわゆる「シャドーIT」の利用を抑制し、組織全体のセキュリティガバナンスを強化することができる。ただし、その効果を最大限に引き出すためには、業務内容を正確に分析し、セキュリティの強度とユーザーの利便性のバランスを考慮した、現実的なポリシーを設計し、継続的に見直していく運用体制が不可欠である。