Windows 7の有用なセキュリティ機能Windows 7のAppLocker活用法　前編──ホワイトリストの作成

MicrosoftがWindows 7で提供しているAppLockerは、Windows XP／VistaのSRPに比べて効果の高さとメンテナンスのしやすさが向上した。

[Lisa Phifer，TechTarget]

　ユーザーがインストールしたグレーウェアから知らないうちに感染したトロイの木馬ダウンローダーまで、迷惑アプリケーションを仕込まれたビジネスPCはあまりに多い。Microsoftの「Windows 7 AppLocker」（以下、AppLocker）は、実行できるプログラムを制限することにより、業務用PCを守る戦いで新たな攻勢に出た。

　本稿はAppLockerに関する2回にわたる連載の第1回目として、AppLockerとWindows XP／Vista Software Restriction Policies（SRP）との違い、およびAppLockerのルール定義方法について解説する。

定義が難しいアプリケーションブラックリスト

　迷惑アプリケーションや正体不明アプリケーションの実行を防ぎたいというのは今に始まったことではない。管理者は何年も前から、デスクトップセキュリティの強化と柔軟性、効率性と管理しやすさとの間で、ちょうどいいバランスを見つけ出そうと努めてきた。

　エンドユーザーから管理者権限を取り上げることで、ある程度の成功は収めたが、仕事とは無関係で権限がなくても実行できるプログラムを防ぐ役には立たなかった。各プログラムの実行前に暗号ハッシュを確認するといった“力ずく”の技術の場合、最新のソフトウェアパッチ適用との終わりなき競争になる。しかし、レジストリキーやファイル名／パスに基づいてグレーウェアをブロックするといった、メンテナンスが容易なアプローチでは簡単にかわされてしまう。

　Windows XP／Vista SRPを利用する管理者がほとんどいないのは、以上のような理由による。SRPを使っている企業は通常、ブラックリスト、すなわちソースネットワークゾーン、パス名、ハッシュあるいは署名付き証明書に基づいて既知のマルウェアをブロックする「Group Policy Objects」（GPO）を作成する。具体的には、デフォルトのセキュリティレベル定義よりもSRPのルールを優先する形で、制限を解除したり（デフォルトが「許可しない」になっている場合）、あるいは制限を掛けたりする（デフォルトが「制限しない」になっている場合）。ただし、確実なSRPルールを定義するのは難しいため、ほとんどの企業はデフォルトのままの「制限しない」になっており、どんなプログラムでも自由な動作を取り立てて禁止されない状態にある。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(http://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}