制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する本連載。具体的な防御手段として、「多層防御」と「状況認識」について解説した前回に続き、今回は「ホワイトリスト型ウイルス対策」を紹介する。
「制御システム技術者」への情報提供と注意喚起を目的としている本連載。前回の『制御システムの守り方――カギを握る「多層防御」と「状況認識」』では、制御システムセキュリティにおける具体的な防御策として、ポイントとなる「多層防御」と「状況認識」について解説した。
今回は、その防御策の中から、制御システム向けのセキュリティ対策として最近注目を集めている「ホワイトリスト型ウイルス対策」※1)に焦点を当てて説明する。
※1)「マルウェア対策」ともいうが、アンチウイルスソフトを引き合いに出して説明する都合上、ここでは「ウイルス対策」という言葉を用いる。
ホワイトリスト型ウイルス対策について紹介する前に、まず「ブラックリスト型」と「ホワイトリスト型」の違いについて説明する。
オフィスや家庭でも使用されている通常のウイルス対策ソフトとして知られるアンチウイルスソフトは、大抵ブラックリスト型と呼ばれる方法をベース※2)としている。ブラックリスト型の対策は、日々世の中で発生するマルウェア情報を集めた「悪いもの(ブラック)リスト」(定義ファイル、パターンファイル)を用いて、マルウェアを検知する方法だ。パソコン内を「スキャン」することで、リストとパソコンのハードディスクにあるファイルを照合し、一致したものをマルウェアとして検知するという仕組みになっている。
※2)定義ファイルに依存するブラックリスト型だけではなく、アプリケーションの振る舞いを解析して検知する一般向けのウイルス対策ソフトも存在はしている。
これに対し、ホワイトリスト型の対策はこの正反対のアプローチでマルウェアを防ぐものだ。動作して良いと判断した「良いもの(ホワイト)リスト」を作り、これ以外のアプリケーションを起動しないように制限を掛ける
ものである。これによって、リストに存在しないマルウェアの実行を防止することができる。図1にそれぞれの対策の特徴をまとめた。
では、なぜホワイトリスト型が「制御システムに向いている」のだろうか? それは、ホワイトリスト型の対策であれば、制御システムのウイルス対策ソフトにおいて課題となっていた以下の問題を解決できるからだ。
⇒ホワイトリスト型対策ではインターネットに接続する必要がない
⇒ホワイトリスト型対策では、一度ホワイトリストを作成してしまえば、登録されたアプリケーションに変更がない限りシステムの更新が不要。
⇒ホワイトリスト型対策は、アプリケーションの起動時のチェックなので制御システムの実動作への負荷が少ない
⇒ホワイトリスト型対策では、USBメモリ内のマルウェアは、ホワイトリストに存在しないため実行が阻止される
これらの問題がホワイトリスト型により対応可能であるため、制御システムセキュリティにおいて注目を集めているのだ。
Copyright © ITmedia, Inc. All Rights Reserved.