セキュリティのためのアプリケーション制御で不可欠な要素とは:Gartner Insights Pickup(395)
攻撃対象領域の最小化を目指す企業にとって、アプリケーション制御はエンドポイントやサーバ、その他の重要なシステム全体にわたる強力な方法だ。本稿では、アプリケーション制御の3つのユースケースと導入のメリットを具体的に紹介する。
自社のエンドポイントやサーバ、その他の重要なシステム全体にわたるアプリケーション制御は、攻撃対象領域(アタックサーフェス)の最小化を目指す企業にとって強力な方法だ。プロアクティブで積極的なセキュリティモデルを採用することで、セキュリティチームは単なる脅威検知・対応から、脅威の防御へと重点を移せる。
このアプローチにより、日々業務に追われるセキュリティ運用チームの負担が軽減され、IT運用やセキュリティの管理者、サービスデスクの各チームが、アプリケーション制御関連のワークロードを管理する一方で、戦略的な取り組みに集中できるようになる。
企業はアプリケーション制御を3つの主要なユースケースで検討する必要がある。それはエンドユーザーが使うエンドポイントでの不正なソフトウェア実行の防止、重要なサーバとサイバーフィジカルシステムの保護、サポートが終了した本番システムの安全確保だ。
許可リストやブロックリストといったよく知られた手法により、これらのニーズを満たすためのカスタムソリューションが得られる。許可リストは、事前に承認されたアプリケーションセットのプロセスのみを実行できるようにする。ブロックリストは、指定された望ましくないアプリケーションの実行を防止する。
一部の企業は、規制対応の必要性からアプリケーション制御を導入し、地域や業界固有の基準の順守を確保している。また、ゼロトラスト戦略の一環としてアプリケーション制御を取り入れ、自社のエンドポイントやサーバにおけるゼロトラスト原則を強化している企業もある。企業が今日の複雑なセキュリティ状況に対処する中、アプリケーション制御は包括的なセキュリティ戦略の不可欠な構成要素となっている。
アプリケーション制御のユースケースの検討と導入メリットの評価
アプリケーション制御の取り組みに着手する前に、セキュリティリーダーは、主なユースケースと自社にとってのメリットを徹底的に評価する必要がある。発生する可能性がある課題を理解し、十分な情報に基づいた意思決定プロセスを確保することも同様に重要だ。アプリケーション制御の一般的なユースケースには、以下の3つが含まれる。
エンドユーザーエンドポイントにおける不正なソフトウェアの実行とインストールの防止
エンドユーザーエンドポイントにアプリケーション制御を実装することで、不正なアプリケーションをブロックし、マルウェアやランサムウェアのリスクを大幅に低減できる。このアプローチはセキュリティを強化するだけでなく、マシンのパフォーマンスと信頼性も向上させる。
だが、このアプローチには、アプリケーションのオンボーディングや例外管理が継続的に必要になるといった課題が伴う。最新のアプリケーションインベントリを維持することが極めて重要になるが、そのためにより多くの人員が必要になったり、エンドユーザーエクスペリエンスに影響が生じたりする可能性がある。
重要なサーバとサイバーフィジカルシステムの保護
重要なサーバとサイバーフィジカルシステムのアプリケーション制御は、攻撃対象領域を効果的に縮小する。また、エンドポイント脅威検知・対応(EDR)ツールで一般的な、セキュリティコンテンツの頻繁な更新の必要性を最小限に抑える。さらに、厳格な変更管理プロセスを強制する。
ただし、このユースケースでは、実装前の広範なデューディリジェンス(事前調査)と、システムオーナーとの連携が必要になる。重要なビジネスアプリケーションの中断につながるリスクもある。さらに、ベンダーによる保証やサポート契約にも影響が及ぶ可能性があり、結果として、一部のアプリケーション制御製品やバージョンしかサポートされなくなる恐れもある。
サポートが終了した本番システムの安全確保
サポートが終了したビジネスクリティカルな本番システムに対して、アプリケーション制御を導入すれば、強固なセキュリティメカニズムによる補完ができる。こうしたシステムは予測可能性が高く、変更頻度が低いため、アプリケーション制御の保守がしやすい。またこうしたシステムは、アプリケーション制御で必要となる変更管理プロセスの実施の恩恵を受ける。だが、このユースケースでは、重要なサーバにアプリケーション制御を導入する場合と同様に、実装前の徹底的なデューディリジェンスが必要になる。
サポートが終了した本番システムの安全確保にアプリケーション制御を導入するセキュリティリーダーは、ビジネスクリティカルなアプリケーションの中断を回避し、サポートに関する懸念を軽減するために、慎重に計画を立てなければならない。
自社における変化への即応体制の評価
アプリケーション制御の導入を検討しているセキュリティリーダーは、変化に対する自社の許容度を注意深く評価する必要がある。アプリケーション制御の本質的な取り組みは、アプリケーションを環境に導入する方法を変更し、計画されていない変更に制限を課すものだからだ。
エンドユーザーや管理者、サービスデスクチームが、自分たちの間接的な仕事を増やす変更に抵抗する組織文化がある場合、アプリケーション制御を導入すると、重大な課題にぶつかるかもしれない。こうしたダイナミクスを理解することは、アプリケーション制御が自社の組織環境や変化への即応体制に適合するかどうかを判断する上で極めて重要だ。
これに対し、前もって計画を立て、部門間で調整を行う強力な文化がある企業では、アプリケーション制御は、エンドポイントセキュリティを強化し、セキュリティ運用の“アラート疲れ”を軽減する非常に効果的な方法になり得る。
そのためには、堅牢(けんろう)な変更管理プロセスを確立することが不可欠だ。変更管理プロセスによって、計画されたアプリケーションの変更が可視化され、管理者がアプリケーション制御ポリシーをプロアクティブに調整できるからだ。このプロアクティブなアプローチにより、アプリケーション制御の実装が円滑に進み、混乱が最小限に抑えられ、自社のビジネス目標およびセキュリティ目標との整合性が確保される。
運用変更の準備
アプリケーション制御を導入する企業は、幾つかの運用変更を見越して対応する必要がある。まず、アプリケーションのインベントリとオンボーディングについて、より厳格なポリシーを採用する必要がある。これには、アプリケーションの変更に、信頼できるソースの包括的なインベントリを作成することが含まれる。また、エンドユーザーがアプリケーションの変更を要求し、IT部門がそれを承認するためのワークフローも確立しなければならない。
サービスデスクチームのために、例外処理に関する明確なガイダンスを用意する必要もある。ガイダンスには、例外を承認するか、エスカレーションするかを判断するためのワークフローや指標などを盛り込む。さらに、アプリケーション制御のアラートをセキュリティ運用ワークフローに統合し、調査を容易にすることも不可欠だ。また、ネットワークから切り離されたシステムと一時的な例外を効果的に管理するための緊急更新機能も開発しなければならない。
アプリケーション制御の取り組みを成功させるには、これらのステップが欠かせない。
出典:Critical Factors in Adopting the Right Application Control Strategy(Gartner)
※この記事は、2025年2月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.