公開日: |更新日:
ブラックリスト方式・ホワイトリスト方式はそれぞれサイバーセキュリティ対策における手法の名称であり、それぞれにメリットとデメリットが存在しています。このページでは、MDMツールの導入に向けて情報を集めている方のために、ブラックリスト方式・ホワイトリスト方式について解説します。
ブラックリスト方式とは、あらかじめ危険性が予期されるターゲットを指定・定義しておき、それに該当する対象からのアクセスや攻撃を未然に予防する手法です。
ブラックリスト方式を採用すれば事前に定義しているリスクを拒絶可能になるため、危険なアプリケーションやプログラムによる干渉を避けることができるようになります。
また、パターンとして当てはまるマルウェアなどについてもブラックリスト方式によって排除可能です。
ブラックリスト方式のメリットは、あらかじめ指定しておいた対象プログラムや危険なアプリケーション、マルウェアとして類似性のあるリスクなどをまとめて除外して、セキュリティの安全性を保てることです。
具体的には迷惑メールとして指定したアドレスや、指定のドメインを含むアドレスからのメールを除外したり、WEBサイトのフィルタリングによって子供が利用するサイトを制限したりといったことが可能です。
ブラックリスト方式を採用すれば、インターネットの自由性を保ちながら危険を排除できます。
ブラックリスト方式ではあらかじめ指定しているリスクに対して排除することが前提となっており、未知のウイルスや事前に想定されていない危険について対処できません。そのため、ブラックリスト方式によってセキュリティ保護を行っていたとしても、ユーザーにセキュリティ対策についての知識や理解がなければ、リストの範囲外からもたらされた攻撃に対して無防備になってしまうことが問題です。
ブラックリスト方式を採用する場合、定期的にリストの内容を更新して排除すべきターゲットを拡大していく必要があります。
ホワイトリスト方式とは、ブラックリスト方式があらかじめ危険性のある対象を指定していたことに対して、あらかじめ「安全だと確認されている対象」を指定しておく方式です。
つまり、ホワイトリスト方式を採用した場合、事前にアクセスが許可されているプログラムやアプリケーション、WEBサイトなどに限って利用できるようになります。
イメージとしては、ホワイトリスト方式は対象に鍵や手形を渡しておき、その鍵や手形を持っているものだけがシステムへアクセスできる環境を構築するものといえるでしょう。
ホワイトリスト方式では最初から「安全性が認められている対象」しかサイバーセキュリティの関所を通ることができません。そのため、未知のリスクについても対処可能であり、限られた環境やサービスのみを利用したい場合は利便性を高めることが可能です。
また、アクセスを許可したい対象が増えた場合は改めてリストに追加して利用できるようになるため、リスト更新を繰り返せば自由度を拡大していけることもポイントです。
ホワイトリスト方式の具体例としてはIP制限や指定ドメイン許可といったものが挙げられます。
ホワイトリスト方式のデメリットは、あらかじめ許可されている対象しか利用できないという点です。安全性という面でいえばブラックリスト方式よりも強固といえますが、それはブラックリスト方式よりも制限が強く自由がないと言い換えることも可能でしょう。
また、安全が認められているシステムやアプリケーションであっても、利用に際しては毎回リストを更新して安全性を担保しなければならず、利用範囲や利用規模が拡大するにつれてリスト改定作業の手間が増えることもデメリットです。
ブラックリスト方式とホワイトリスト方式はそれぞれサイバーセキュリティ対策としての基盤が異なっており、どちらが適しているかは目的によって異なります。
例えば限定的な業務にしかデバイスを使わないのであればホワイトリスト方式が適しているかも知れませんし、システムに柔軟性を持たせたいのであればブラックリスト方式が適しているかも知れません。
どちらの手法を選択するか判断するためには、まずシステム導入の目的を明確にすることが肝要です。
サイバーセキュリティに対する意識は社会全体で高まっており、ブラックリスト方式やホワイトリスト方式といった手法についても、その用語を知っているいないにかかわらず利用している人は少なくありません。
どちらの方式が優れているかはケースバイケースであり、必要に応じて適切なチョイスを行うためにも、まずはそれぞれの基本概念を把握しておきましょう。
手厚いサポートが期待できる国産MDM18社(※)のうち、月額費用の最低料金が1台165円からとお安く、無料トライアルのあるMDM4つを厳選しました。
※2021年2月時点で、日本国内で利用でき公式HPが存在しているMDMのうち、国産のものを選出しています
※2018年度、エンドポイント管理史上のマーケティング分析(株式会社テクノ・システムリサーチ社)より
参照:mobiconnect公式HP(https://www.mobi-connect.net/)