目次

アプリケーションコントロール

エージェントバージョン10.0以降を実行しているコンピュータでアプリケーションコントロールを有効にできます。アプリケーションコントロールがサポートされているオペレーティングシステムのリストについては、プラットフォーム別のサポート対象機能 を参照してください。

アプリケーションコントロールは、保護対象サーバのソフトウェアの変更を継続的に監視し、ソフトウェアのルールセット、グローバルルールセット、および信頼エンティティのコンピュータとポリシーの設定に基づいて、施行設定に基づいてそれらのサーバを許可またはブロックします。

  • アプリケーションコントロールの施行設定 (ポリシーまたはコンピュータの [アプリケーションコントロール] タブ) で、[認識されないソフトウェアを明示的に許可するまでブロックする] または [認識されないソフトウェアを明示的にブロックするまで許可する] のいずれかに設定できます。どのオプションを選択するかは、環境に対して必要な制御レベルによって異なります。
  • ソフトウェアルールセット のルールでは、ソフトウェアの実行を許可またはブロックします。 Workload Security処理 ページまたは アプリケーションコントロールイベント( [イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント])からソフトウェアの変更が明示的に許可またはブロックされると、割り当てられたソフトウェアルールセットでアップデートされます。
  • グローバルルール では、APIを使用して、保護対象のすべてのコンピュータに適用できるブロックルールを適用および追跡できます。
  • 信頼するエンティティ を使用すると、事前定義されたプロパティに基づいて特定のソフトウェア変更を自動承認するように信頼ルールを設定できます。 [Workload Security] の [処理] 画面または [アプリケーションコントロールコントロール] の [セキュリティイベント] ページ ([イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント])。

ソフトウェアが新しいか、または変更されているかを判断するために、エージェントはファイルのSHA-256ハッシュおよびファイルサイズを、最初にインストールされたSHA-256ハッシュおよびファイルサイズと比較します。

アプリケーションコントロール の作成と設定は、APIを使用して自動化できます。詳細については、アプリケーションコントロールの設定を参照してください。

ソフトウェアルールセットの主要概念

ソフトウェアルールセットの主な概念は次のとおりです。

対象となる保護の状態: アプリケーションコントロールの設定時に必要な主な決定事項の1つに、対象となる保護の状態の決定があります。新規または変更されたすべてのソフトウェアについて、許可するように手動で指定するまで実行されないようにしますか。または、明示的にブロックするまで初期設定で実行しますか。はじめてアプリケーションコントロールを有効にしたときに、承認されていないソフトウェアが大量にある場合、承認されていないソフトウェアを最初に許可する方法があります。アプリケーションコントロールルールを追加して、承認されていないソフトウェアの量を減らすと、ブロックモードに切り替えることができます。

ソフトウェアルールセットルール: ルールは、特定のコンピュータでソフトウェアを許可するかブロックするかを指定します。

インベントリ: コンピュータにインストールされているソフトウェアの初期リスト。許可するソフトウェアのみをコンピュータにインストールするようにしてください。アプリケーションコントロールを有効にすると、現在インストールされているすべてのソフトウェアがコンピュータのインベントリに追加され、実行が許可されます。コンピュータがメンテナンスモードの場合、コンピュータに加えられたソフトウェアの変更はコンピュータのインベントリに追加され、実行が許可されます。コンピュータのソフトウェアインベントリリストはエージェントに保存され、 Workload Security コンソールには表示されません。

認識されないソフトウェア: コンピュータのインベントリに存在せず、アプリケーション制御ルールの対象になっていないソフトウェア。 Application Control はソフトウェアの変更として何を検出しますか?を参照してください。

メンテナンスモード: ソフトウェアのインストールまたはアップデートを計画している場合は、メンテナンスモードをオンにする必要があります。メンテナンスモードでは、アプリケーションコントロールルールによって具体的にブロックされているソフトウェアは引き続きブロックされますが、新規またはアップデートされたソフトウェアの実行は許可され、コンピュータのインベントリリストに追加されます。 計画的な変更を行うときにメンテナンスモードを有効にする を参照してください。

ソフトウェアルールセットを使用して手動で許可またはブロックする数を減らすために、ソフトウェアの変更を自動承認する方法については、信頼するエンティティ を参照してください。

アプリケーションコントロールソフトウェアルールセットの仕組み

以下の手順に対応するアプリケーションコントロールのフローチャート

  1. ポリシーで アプリケーションコントロール を有効にし、エージェントで保護されているコンピュータにポリシーを割り当てます (「アプリケーションコントロールを有効にする」を参照)。
  2. エージェントはポリシーを受信すると、コンピュータにインストールされているすべてのソフトウェアのインベントリを作成します。インベントリに記載されているすべてのソフトウェアは安全であるとみなされ、そのコンピュータで実行できるようになります。このインベントリリストは、 Workload Security コンソールからは表示されません。したがって、アプリケーション制御を有効にするコンピュータに適切なソフトウェアのみがインストールされていることを確認する必要があります。
  3. インベントリの作成後、アプリケーションコントロールでコンピュータのあらゆるソフトウェア変更が認識されます。ソフトウェア変更により、新しいソフトウェアがコンピュータに表示されたり、既存のソフトウェアに変更が加えられたりします。
  4. コンピュータがメンテナンスモードの場合、エージェントはインベントリにソフトウェアを追加し、実行が許可されます。この変更は、 Workload Security コンソールには表示されません。「変更の計画時にメンテナンスモードをオンにする」を参照してください。
  5. 信頼されたインストーラによって変更が行われた場合、エージェントはソフトウェアをインベントリに追加して実行します。たとえば、Microsoft Windowsがコンポーネントアップデートを自己始動する場合、数百の新しい実行可能ファイルがインストールされます。アプリケーション制御は、既知のWindowsプロセスによって作成された多くのファイル変更を自動的に承認し、 Workload Security コンソールにこれらの変更をリストしません。想定されるソフトウェア変更に関連する「ノイズ」を削除すると、注意が必要な変更を明確に確認できます。

    信頼済みインストーラ機能は、エージェントバージョン10.2以降で使用できます。

  6. コンピュータのソフトウェアルールセットにこのソフトウェアのルールと一致するルールが含まれている場合、そのソフトウェアは設定されたルールに従って許可またはブロックされます。アプリケーションコントロールソフトウェアの変更として何を検出しますか?を参照してください。

  7. ソフトウェアがコンピュータのインベントリにない場合に、既存のルールで保護されていないソフトウェアは、認識されないソフトウェアとみなされます。コンピュータに割り当てられたポリシーでは、承認されていないソフトウェアの処理方法を指定します。ポリシー設定に応じて、実行が許可またはブロックされます。ソフトウェアがブロックされ、OSにエラーメッセージを表示できる場合、そのソフトウェアの実行が許可されない、またはアクセスが拒否されたことを示すエラーメッセージが保護対象のコンピュータに表示されます。

    認識されないソフトウェアは、 Workload Security コンソールの アプリケーションコントロール - ソフトウェアの変更 ページに表示されます。そのページで、管理者は[ Allow ]または[ Block ]をクリックして、特定のコンピュータ上のそのソフトウェアに対する許可ルールまたはブロックルールを作成できます。許可ルールまたはブロックルールは、ポリシーで指定された初期設定アクションよりも優先されます。「新規および変更済みソフトウェアを監視する」を参照してください。

アプリケーションコントロールインタフェース

Workload Security コンソールには、アプリケーションコントロールに関連する変更が表示される場所がいくつかあります。

アプリケーションコントロール: ソフトウェア変更 ([処理])

アプリケーションコントロール:ソフトウェアの変更画面

アプリケーションコントロール: ソフトウェアの変更ページは、ワークロードセキュリティコンソールでアクションをクリックすると表示されます。これは、すべての認識されていないソフトウェア(コンピュータのインベントリにない、または対応するアプリケーションコントロールのルールがないソフトウェア)を表示します。ソフトウェアの変更はコンピュータレベルで許可またはブロックされるため、特定のソフトウェアが50台のコンピュータにインストールされている場合、そのページに50回表示されます。ただし、特定のソフトウェアをどこでも許可またはブロックする必要があることがわかっている場合は、アクションページをフィルタリングして変更をファイルハッシュでソートし、すべて許可をクリックしてそのソフトウェアがインストールされているすべてのコンピュータで許可できます。

コンピュータに適用されるポリシーでは、すべての認識されないソフトウェアの実行を初期設定で許可するか、すべての認識されないソフトウェアをブロックするかを指定します。ただし、[処理] 画面で [許可] または [ブロック] をクリックするまで、明示的なアプリケーションコントロールルールは作成されません。 [許可] または [ブロック] をクリックすると、対応するルールがコンピュータのソフトウェアルールセットの [ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[ソフトウェアルールセット] に表示されます。

アプリケーションコントロールソフトウェアルールセット

アプリケーションコントロールソフトウェアルールセットページ

コンピュータのソフトウェアルールセットを表示するには、[ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[ソフトウェアルールセット] の順に選択します。ルールセットに含まれるルールを確認するには、ルールセットをダブルクリックして[ルール] タブに移動します。 [ルール] タブには、ルールが関連付けられているソフトウェアが表示され、許可ルールをブロックするように変更したり、許可ルールをブロックするように変更したりできます。

セキュリティイベント

アプリケーションコントロール Eventsページ

[イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント] には、コンピュータ上で実行されたか、ブロックルールによって実行が禁止されている、認識されていない「ソフトウェア」がすべて表示されます。このリストは、期間やその他の条件でフィルタできます。

イベントごとに (集約イベントを除く)、[ルールの表示] をクリックしてルールを許可からブロックに、またはその逆に変更できます。バージョン10.2以降のエージェントには、同じイベントが繰り返し発生する場合にログの量を減らすためのイベント集約ロジックが組み込まれています。

アプリケーションコントロール信頼エンティティ{#Trust}

[Policies]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ] には、ソフトウェアの変更を自動認証するために設定できる信頼ルールセットと信頼ルールが表示されます。詳細については、「 アプリケーションコントロール trust Entitys」を参照してください。

アプリケーションコントロールで検出されるソフトウェア変更

すべてのファイルを監視する変更監視とは異なり、アプリケーションコントロールで初期インストールの調査時と変更の監視時に確認されるのはソフトウェアファイルのみです。

ソフトウェアには次のものも含まれます。

  • Windowsアプリケーション (.exe .com .dll .sys)、Linuxライブラリ (.so)、およびその他のコンパイル済みバイナリおよびライブラリ。
  • Javaの .jar ファイルと .class ファイル、およびその他のコンパイル済みバイトコード。
  • PHP、Python、シェルスクリプト、および実行時に解釈またはコンパイルされるその他のWebアプリやスクリプト。
  • Windows PowerShellスクリプト、バッチファイル (.bat)、およびその他のWindows固有のスクリプト (.wsf .vbs .js)。

たとえば、WordPressとそのプラグインであるApache、IIS、nginx、Adobe Acrobat、app.war、および /usr/bin/ssh はすべてソフトウェアとして検出されます。

アプリケーションコントロールは、ファイルの拡張子を確認してスクリプトかどうかを判定します。またLinuxでは、実行権限のあるファイルはスクリプトとみなされます。

Windowsコンピュータでは、ローカルのファイルシステム上の変更はアプリケーション制御によって追跡されますが、ネットワーク上の場所、CDまたはDVDドライブ、またはUSBデバイス上では変更されません。

アプリケーションコントロールはカーネル (Linuxコンピュータ) およびファイルシステムに統合されているため、ルートまたは管理者アカウントでインストールされたソフトウェアを含め、コンピュータ全体を監視する権限があります。監視対象は、ソフトウェアファイルに対するディスク上の書き込みアクティビティとソフトウェアの実行です。