目次

アプリケーションコントロール

アプリケーションコントロール は、バージョン10.0以降のエージェントを実行しているコンピュータで有効にできます。アプリケーションコントロール がサポートされるOSのリストについては、「各プラットフォームでサポートされている機能」を参照してください。

アプリケーションコントロールは、保護対象サーバのソフトウェアの変更を継続的に監視し、ソフトウェアのルールセット、グローバルルールセット、および信頼エンティティのコンピュータとポリシーの設定に基づいて、施行設定に基づいてそれらのサーバを許可またはブロックします。

  • アプリケーションコントロールの適用設定(ポリシーまたはコンピュータの[ アプリケーションコントロール ]タブ)は、「承認されていないソフトウェアを明示的に許可するまでブロック」または「承認されていないソフトウェアを明示的にブロックするまで許可」のいずれかに設定できます。選択するオプションは、使用環境に必要なコントロールレベルに応じて異なります。
  • ソフトウェアルールセット のルールでは、ソフトウェアの実行を許可またはブロックします。 Workload Security処理 ページまたは アプリケーションコントロールイベント( [イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント])からソフトウェアの変更が明示的に許可またはブロックされると、割り当てられたソフトウェアルールセットでアップデートされます。
  • グローバルルール では、APIを使用して、保護対象のすべてのコンピュータに適用できるブロックルールを適用および追跡できます。
  • 信頼エンティティ機能を使用すると、事前定義されたプロパティに基づいて特定のソフトウェアの変更を自動承認するように信頼ルールを構成できます。Workload Securityの [処理] 画面またはアプリケーションコントロールの [セキュリティイベント] 画面([イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント])から手動で許可またはブロックする必要があるエントリを回避できます。

ソフトウェアが新しいか、または変更されているかを判断するために、エージェントはファイルのSHA-256ハッシュおよびファイルサイズを、最初にインストールされたSHA-256ハッシュおよびファイルサイズと比較します。

アプリケーションコントロール の作成と設定は、APIを使用して自動化できます。詳細については、アプリケーションコントロールの設定を参照してください。

ソフトウェアルールセットの主要概念

ソフトウェアルールセットの主要な概念を以下に示します。

ソフトウェアのルールセットを使用して手動で許可またはブロックする数を減らすためにソフトウェアの変更を自動認証する方法については、[アプリケーションコントロールの信頼エンティティ]を参照してください。

対象となる保護の状態: アプリケーションコントロールの設定時に必要な主な決定事項の1つに、対象となる保護の状態の決定があります。新規または変更されたすべてのソフトウェアについて、許可するように手動で指定するまで実行されないようにしますか。または、明示的にブロックするまで初期設定で実行しますか。はじめてアプリケーションコントロールを有効にしたときに、承認されていないソフトウェアが大量にある場合、承認されていないソフトウェアを最初に許可する方法があります。アプリケーションコントロールルールを追加して、承認されていないソフトウェアの量を減らすと、ブロックモードに切り替えることができます。

ソフトウェアルールセットルール: ルールは、特定のコンピュータでソフトウェアを許可するかブロックするかを指定します。

インベントリ: コンピュータにインストールされているソフトウェアの初期リスト。許可するソフトウェアのみをコンピュータにインストールするようにしてください。アプリケーションコントロールを有効にすると、現在インストールされているすべてのソフトウェアがコンピュータのインベントリに追加され、実行が許可されます。コンピュータがメンテナンスモードの場合、コンピュータに加えられたソフトウェアの変更はコンピュータのインベントリに追加され、実行が許可されます。コンピュータのソフトウェアインベントリリストはエージェントに保存され、 Workload Security コンソールには表示されません。

承認されていないソフトウェア: コンピュータのインベントリに登録されておらず、アプリケーション制御ルールに該当しないソフトウェア。「アプリケーションコントロールで検出されるソフトウェア変更」を参照してください。

メンテナンスモード: ソフトウェアのインストールまたはアップデートを計画している場合は、メンテナンスモードを有効にすることを強くお勧めします。メンテナンスモードでは、 アプリケーションコントロール ルールによってブロックされたソフトウェアはブロックされますが、新規またはアップデートされたソフトウェアを実行してコンピュータのインベントリリストに追加できます。「変更の計画時にメンテナンスモードをオンにする」を参照してください。

アプリケーションコントロールソフトウェアルールセットの仕組み

以下の手順に対応するアプリケーションコントロールのフローチャート

  1. ポリシーで アプリケーションコントロール を有効にし、エージェントで保護されているコンピュータにポリシーを割り当てます (「アプリケーションコントロールを有効にする」を参照)。
  2. エージェントはポリシーを受信すると、コンピュータにインストールされているすべてのソフトウェアのインベントリを作成します。インベントリに記載されているすべてのソフトウェアは安全であるとみなされ、そのコンピュータで実行できるようになります。このインベントリリストは、 Workload Security コンソールからは表示されません。したがって、アプリケーション制御を有効にするコンピュータに適切なソフトウェアのみがインストールされていることを確認する必要があります。
  3. インベントリの作成後、アプリケーションコントロールでコンピュータのあらゆるソフトウェア変更が認識されます。ソフトウェア変更により、新しいソフトウェアがコンピュータに表示されたり、既存のソフトウェアに変更が加えられたりします。
  4. コンピュータがメンテナンスモードの場合、エージェントはインベントリにソフトウェアを追加し、実行が許可されます。この変更は、 Workload Security コンソールには表示されません。「変更の計画時にメンテナンスモードをオンにする」を参照してください。
  5. 信頼されたインストーラによって変更が行われた場合、エージェントはソフトウェアをインベントリに追加して実行します。たとえば、Microsoft Windowsがコンポーネントアップデートを自己始動する場合、数百の新しい実行可能ファイルがインストールされます。アプリケーション制御は、既知のWindowsプロセスによって作成された多くのファイル変更を自動的に承認し、 Workload Security コンソールにこれらの変更をリストしません。想定されるソフトウェア変更に関連する「ノイズ」を削除すると、注意が必要な変更を明確に確認できます。

    信頼済みインストーラ機能は、バージョン10.2以降のエージェントで使用できます。

  6. コンピュータのソフトウェアルールセットにこのソフトウェアのルールと一致するルールが含まれている場合、そのソフトウェアは設定されたルールに従って許可またはブロックされます。アプリケーションコントロールソフトウェアの変更として何を検出しますか?を参照してください。

  7. ソフトウェアがコンピュータのインベントリにない場合に、既存のルールで保護されていないソフトウェアは、認識されないソフトウェアとみなされます。コンピュータに割り当てられたポリシーでは、承認されていないソフトウェアの処理方法を指定します。ポリシー設定に応じて、実行が許可またはブロックされます。ソフトウェアがブロックされ、OSにエラーメッセージを表示できる場合、そのソフトウェアの実行が許可されない、またはアクセスが拒否されたことを示すエラーメッセージが保護対象のコンピュータに表示されます。

    認識されないソフトウェアは、 Workload Security コンソールの アプリケーションコントロール - ソフトウェアの変更 ページに表示されます。そのページで、管理者は[ Allow ]または[ Block ]をクリックして、特定のコンピュータ上のそのソフトウェアに対する許可ルールまたはブロックルールを作成できます。許可ルールまたはブロックルールは、ポリシーで指定された初期設定アクションよりも優先されます。「新規および変更済みソフトウェアを監視する」を参照してください。

アプリケーションコントロールインタフェースの紹介

Workload Security コンソールには、アプリケーションコントロールに関連する変更が表示される場所がいくつかあります。

アプリケーションコントロール: ソフトウェア変更 ([処理])

アプリケーションコントロール:ソフトウェアの変更画面

アプリケーションコントロール:ソフトウェア変更 ページは、 Workload Security コンソールで 処理 をクリックすると表示されます。すべての認識されないソフトウェア(コンピュータのインベントリにないソフトウェアで、対応するアプリケーション制御ルールがないソフトウェア)が表示されます。ソフトウェア変更はコンピュータレベルで許可またはブロックされるため、特定のソフトウェアを50台のコンピュータにインストールすると、この画面に50回表示されます。ただし、特定のソフトウェアをどこからでも許可またはブロックする必要があることがわかっている場合は、[ 処理 ]画面をフィルタしてファイルハッシュごとに並べ替えてから、 [すべて許可]をクリックして、ソフトウェアがインストールされているすべてのコンピュータで許可することができます。

コンピュータに適用されるポリシーでは、認識されないすべてのソフトウェアの実行を初期設定で許可するか、承認されていないソフトウェアをすべてブロックするかを指定しますが、 処理 で[許可]または[ブロック]をクリックするまで、明示的なアプリケーションコントロールルールは作成されません。ページ。[許可]または[ブロック]をクリックすると、対応するルールがコンピュータのソフトウェアルールセットに表示されます([ [ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[ソフトウェアルールセット]] )。

アプリケーションコントロールソフトウェアルールセット

アプリケーションコントロールソフトウェアルールセットページ

コンピュータのソフトウェアルールセットを確認するには、[ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[ソフトウェアルールセット]に移動します。どのルールがルールセットの一部であるかを確認するには、ルールセットをダブルクリックし、[ ルール]タブに移動します。[ルール] タブには、ルールが関連付けられたソフトウェアが表示され、許可ルールをブロックルールに変更したり、ブロックルールを許可ルールに変更したりすることもできます。

セキュリティイベント

アプリケーションコントロール Eventsページ

[イベント]→[レポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント] には、コンピュータで実行された承認されていないソフトウェア、またはブロックルールにより実行されないようにした承認されていないソフトウェアがすべて表示されます。このリストは、期間および他の基準によってフィルタできます。

イベント (集約イベント以外) ごとに、[ルールの表示] をクリックすると、ルールの許可とブロックを切り替えることができます。バージョン10.2以降のエージェントには、同じイベントが繰り返し発生した場合にログの量を減らすイベント集約ロジックが含まれています。

アプリケーションコントロール信頼エンティティ{#Trust}

[Policies]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ] には、ソフトウェアの変更を自動認証するために設定できる信頼ルールセットと信頼ルールが表示されます。詳細については、「 アプリケーションコントロール trust Entitys」を参照してください。

アプリケーションコントロールで検出されるソフトウェア変更

すべてのファイルを監視する変更監視とは異なり、アプリケーションコントロールで初期インストールの調査時と変更の監視時に確認されるのはソフトウェアファイルのみです。

ソフトウェアには次のものも含まれます。

  • Windowsアプリケーション (.exe、.com、.dll、.sys)、Linuxライブラリ (.so)、およびその他のコンパイルされたバイナリやライブラリ
  • Javaの.jarファイルと.classファイル、およびその他のコンパイルされたバイトコード
  • PHP、Python、シェルスクリプト、およびその他の実行時に変換またはコンパイルされるWebアプリやスクリプト
  • Windows PowerShellスクリプト、バッチファイル (.bat)、およびその他のWindows専用スクリプト (.wsf、.vbs、.js)

たとえば、WordPressとそのプラグイン、Apache、IIS、nginx、Adobe Acrobat、app.war、/usr/bin/sshは、いずれもソフトウェアとして検出されます。

アプリケーションコントロールは、ファイルの拡張子を確認してスクリプトかどうかを判定します。またLinuxでは、実行権限のあるファイルはスクリプトとみなされます。

Windowsコンピュータでは、ローカルのファイルシステム上の変更はアプリケーション制御によって追跡されますが、ネットワーク上の場所、CDまたはDVDドライブ、またはUSBデバイス上では変更されません。

アプリケーションコントロールはカーネル (Linuxコンピュータ) およびファイルシステムに統合されているため、ルートまたは管理者アカウントでインストールされたソフトウェアを含め、コンピュータ全体を監視する権限があります。監視対象は、ソフトウェアファイルに対するディスク上の書き込みアクティビティとソフトウェアの実行です。