TOPアプリ/OS > Windows環境のアプリケーションやドライバーの制御にお勧...

アプリ/OS

Windows環境のアプリケーションやドライバーの制御にお勧め、WDAC(前)

2022/04/12

Susan Bradley CSO

 企業のWindows環境で利用するアプリケーションやドライバーは、ホワイトリストで明示的に許可したもの以外は動作を認めないようにブロックするのが理想的だ。それを実現するための機能としては、「Windows Defender Application Control(WDAC)」がある。

Credit: Microsoft / Gerd Altmann
Credit: Microsoft / Gerd Altmann

 WDACは、米MicrosoftがWindows 10で導入した機能で、実行を許可するアプリケーションをポリシーによって制御できる。ホワイトリスト方式でアプリケーションを制御する機能というと「AppLocker」もあるが、こちらは新機能の開発が既に終了しており、現在はセキュリティー更新のみが提供されている。

 WDACのポリシーを適用するには、グループポリシーか、Intuneなどのクラウドサービスを利用する。ポリシーを展開する際は、まずは監査モードを使い、設定したルールが実際の環境に及ぼす影響を検証してから、ルールを有効にする。動作を許可するアプリケーションの指定は、コード署名証明書の属性、アプリケーションのバイナリ、アプリケーションのレピュテーション、インストールを開始したプロセスのIDといった要素に基づいてできる。

不正なドライバーのブロックにも対応可能

 社内で利用するアプリケーションを、業務のニーズを踏まえて絞り込む作業は、多少の手間を伴うかもしれないが、ここで注意を払うべき対象はアプリケーションだけではない。不正なドライバーの対処についても考えておく必要がある。

 先日、米NVIDIAでドライバーの署名に使われていた証明書がサイバー攻撃で流出したという話が出た。この事例からも分かるように、不正なドライバーの侵入をブロックすることには大きな意味がある。これもWDACで対応が可能だ。その手順については、Kim Oppalfens氏のブログ記事に説明がある。ただし、この手順で厄介なのは、ブロックの対象となる不正なドライバーや証明書の入手が必要な場合があることだ。

↑ページ先頭へ