Anonymous、LulzSec、そしてその他の組織は、ここ数ヶ月、ネットワークへのハッキングやデータ侵害は子供の遊びに過ぎないことを何度も実証してきました。では、私たちには何もできない、組織は不十分なセキュリティを甘受するしかないのでしょうか?いいえ、そうではありません。少なくとも一人のセキュリティ専門家は、増加する攻撃からネットワークとデータを守るための答えはシンプルだと考えています。それはホワイトリストです。
近年のハッキングの実態、そして精密で標的を絞ったソーシャルエンジニアリングを駆使した攻撃への依存度の高さは、防御を困難にし、場合によっては不可能にさえしています。ネットワークへの不正アクセスをブロックし、外部からの攻撃からデータを保護することは重要ですが、攻撃者が権限のある社内ユーザーを騙してマルウェアを実行させ、アクセスを許可したり、ネットワークに侵入してデータを侵害するための鍵を入手したりした場合、できることはほとんどありません。
しかし、「少し」というのは「全くない」ということとは違います。潜在的な解決策はあります。『Surviving Cyberwar』の著者であり、独立系ITセキュリティアナリスト会社IT-Harvestのアナリストであるリチャード・スティエノン氏は、Intelligent | Whitelistingのブログ記事で、マルウェア攻撃の共通点は、マルウェアの実行ファイルが新しい未知のソフトウェアであるという点だと指摘しています。ホワイトリスト化ソリューションは、マルウェアがホワイトリストに載らないため、このような攻撃を阻止します。
ホワイトリストとは一体何でしょうか?ご想像の通り、ブラックリストとは逆のものです。ブラックリストは、禁止されたアプリケーションのブラックリストに登録されていない限り、プログラムの実行をデフォルトで許可するのに対し、ホワイトリストは、承認されたアプリケーションのホワイトリストに登録されていない限り、すべてのソフトウェアの実行を禁止します。
スティエノン氏は、ホワイトリスト化には反対意見もあることを認識しています。制限が厳しすぎる、誤検知が多すぎる、維持管理のオーバーヘッドが大きいといった点です。しかし、スティエノン氏によると、ホワイトリスト化ソリューションはニーズに合わせて改善と進化を続けており、「顧客はベンダーに対し、現実世界の環境への適応を強く求めています」とのことです。
ホワイトリスト方式は、ブラックリスト方式よりもIT管理者の手間と監視が必要になるようです。ユーザーが新しいアプリケーションを実行したいたびに、ソフトウェアを承認申請し、IT部門がホワイトリストに追加するまで待たなければなりません。
大変な話に聞こえます。しかし、別の選択肢を考えてみましょう。ブラックリスト方式では、ユーザーはソフトウェアを自由に実行でき、悪意のある添付ファイルさえも実行できます。ソフトウェアが悪意のあるものであろうと、あるいはより軽微な競合や問題を引き起こすものであろうと、IT管理者はその後の余波と影響への対応に追われます。このプロセス全体は事後対応的であり、脅威が特定されるまでネットワークとデータは無防備な状態のままです。
スティエノン氏は次のようにまとめています。「[ホワイトリスト化の]欠点が認識されているにもかかわらず、標的型カスタムマルウェアによる侵害の脅威がそれらの欠点を上回る時が来るでしょう。その時は今です。」
