進化を続けるサイバーセキュリティコンプライアンスの世界において、連邦政府の請負業者や中小企業の間で急速に注目を集めている概念があります。それが、アプリケーションのホワイトリストです。ホワイトリストは複雑であるという認識から見過ごされがちですが、特に国防総省(DoD)のサイバーセキュリティ成熟度モデル認証(CMMC)の取得を目指す企業にとって、基礎的な要件として浮上しつつあります。
先日Carahsoftが主催したウェビナーでは、サイバーセキュリティのリーダーであるCorey Munson氏(PC Matic副社長)、Willie Crenshaw氏(元NASA幹部、サイバーセキュリティコンサルタント)、そしてAdam Austin氏(Totem Technologiesオーナー)が一堂に会し、アプリケーションのホワイトリストの重要性、CMMCとの関連性、そしてエンドポイントセキュリティにおいて「デフォルト拒否」戦略を採用すべき理由について解説しました。
CUI:連邦政府サイバーセキュリティの新たな戦場
会話は、管理された非機密情報(CUI)の分析から始まりました。CUIとは、機密扱いではないものの、漏洩した場合に重大な被害をもたらす可能性のあるデータです。ウィリー・クレンショー氏が説明したように、「非機密だからといって、自由に流通できるわけではありません」。国防総省の設計図から教育省の記録まで、CUIは連邦政府の幅広い任務やプログラムに関わっています。
アダム・オースティン氏は、オバマ政権時代の大統領令によってCUI政策の監督が国立公文書記録管理局(NARA)に一元化されたことを取り上げ、背景を説明しました。各機関は、サプライチェーンを通じてCUI保護基準を周知徹底することが義務付けられており、請負業者はコンプライアンスの責任を負うことになります。
CMMCモデル
国防総省は、CUI(連邦情報技術)に対する継続的な脅威への対応策として、コンプライアンス強化を目的としたフレームワークであるサイバーセキュリティ成熟度モデル認証(CMMC)を採用しています。CMMCは3つのレベルで構成されています。
- レベル1:連邦契約情報(FCI)の基本的な保護
- レベル2:NIST SP 800-171 Rev. 2に基づくCUIの高度な保護
- レベル3:NIST SP 800-172の追加管理策を組み込んだ、重要な兵器システムに関連する「CUI+」の保護
オースティン氏は、CUI保護の要件は10年以上前から存在していますが、CMMCは監査可能かつ強制執行可能なメカニズムを導入しており、違反に対する民事罰および刑事罰も含まれる可能性があると指摘しました。「もはや単なる契約条項ではなく、説明責任モデルなのです」とオースティン氏は述べました。
CMMCの導入は間近に迫っており、最終的な規則策定段階はすでにホワイトハウスの審査を受けています。請負業者は、2025 年末までに新しい契約に CMMC 条項が組み込まれていることを目にすることになるでしょう。
アプリケーション許可リストの誤解された力
この議論の核心は、アプリケーション許可リストです。これは、従来のウイルス対策モデルを根本から覆すセキュリティ戦略です。既知の悪質なアプリケーションをブロックする(ブラックリスト)のではなく、許可リストは既知の検証済みソフトウェアのみの実行を許可し、それ以外のすべての実行をデフォルトで拒否します。
オースティン氏はこれを空港のセキュリティに例え、「リストに載っていないと運輸保安局(TSA)を通過できません。許可リストはシステムに未知のソフトウェアの侵入を防ぐのです」と述べています。
これまで、許可リストは許可リストの維持に伴うガバナンスと管理上の負担のために、十分に活用されてきませんでした。組織は次のような問題に悩まされてきました。
- 新しいソフトウェアの承認(オンボーディング/オフボーディング)
- ソフトウェアの出所の検証(サプライチェーンリスク)
- 動的なIT環境の管理
最新のアプローチ:グローバルおよびローカルのホワイトリスト
これらの課題に対処するため、PC Maticのホワイトリストは実用的なアプローチを提供します。
グローバルホワイトリスト – マルウェア研究チームによって管理されているこのリストは、広く使用されている正規のアプリケーションを網羅しています。組織はこれをベースラインとして利用でき、手動設定なしで即座に導入できます。
ローカルホワイトリスト – 組織は追加ルールをカスタマイズし、特定のニーズに基づいてアプリケーションを許可または拒否できます。
Austin氏にとって、これは画期的な出来事でした。「ほとんどの中小企業は、PowerShellスクリプトを実行して独自のガバナンスモデルを構築する時間や専門知識を持っていません。PC Maticのアプローチは、迅速な導入を可能にし、成熟した構成管理体制へと成長させてくれます。」
ホワイトリストとNIST 800-171
ホワイトリストは、CMMCレベル2でまもなく採用されるNIST SP 800-171 Rev. 3で明示的に要求されています。これは、サイバーセキュリティにおいて最も重要でありながら見落とされがちなコンポーネントの1つである構成管理(CM)コントロールファミリーに属します。オースティン氏とクレンショー氏は共に、多くのコンプライアンス違反は構成管理の弱さ、あるいは構成管理の欠如に起因すると強調しました。
クレンショー氏は、民間機関におけるCDM(継続的診断および軽減)プログラムとゼロトラスト・アーキテクチャの台頭は、どちらもソフトウェアレベルでのより強力な管理の必要性に集約されていると説明しました。「構成こそが、物事がうまくいかない原因です。何がインストールされているのか、何が実行されているのか、そしてそれがどこから来たのかを知らなければ、すでに敗北しているのです」と彼は述べています。
ホワイトリスト vs. アンチウイルスとEDR
多くの組織が依然としてアンチウイルス(AV)やエンドポイント検知・対応(EDR)ツールに依存していますが、これらのソリューションは事後対応的であり、継続的なアップデートが必要です。ホワイトリストはプロアクティブであり、未知のアプリケーションや不正なアプリケーションの実行を最初からブロックします。
Munson氏は、「ホワイトリストはEDRに代わるものではなく、ノイズを減らすことでEDRの効果を高めるものです」と述べています。さらに、ホワイトリストは現在、サイバー保険の引受において必須または優遇措置の対象となっており、リスク管理者がホワイトリストを重要なリスク低減策と見なしていることを示しています。
十分なサービスを受けていない請負業者への支援
Totem Technologiesは、小規模請負業者向けのPC強化ガイドを開発しました。このガイドは、ITスタッフが不足している小規模企業でもシステムのセキュリティを確保できるよう支援します。このガイドでは、Windows 11エンドポイントのセキュリティを強化する方法と、ホワイトリストの適用手順について概説しています。
「適切なツールとガイダンスがあれば、2人規模の組織でも800-171のセキュリティ管理基準を満たすことができます」とAustin氏は述べています。このガイドには、PC Maticのホワイトリストソリューションを主要なセキュリティ管理基準として活用することが含まれています。
脅威の状況はプロアクティブな対策を必要としている
クレンショー氏とオースティン氏は共に、拡大する脅威の状況について警告を発しました。具体的には、以下の点が挙げられます。
- ゼロデイエクスプロイト
- AIを利用した攻撃
- ブラウザ拡張機能の脆弱性
- 安全でないホームネットワークに起因するリモートワークの脅威
「ホワイトリストはもはやコンプライアンスのためではなく、生き残るための手段です」とクレンショー氏は述べました。「ウイルス対策ソフトに頼って万全を期すだけではいけません。攻撃者はあまりにも巧妙です。」
結論:アプリケーションのホワイトリストはもはやオプションではありません
CMMCが国防総省の請負業者、そして将来的には民間機関にも必須となる中、アプリケーションのホワイトリストは、組織が導入できる数少ないプロアクティブで強制力のある防御策の一つです。PC MaticのホワイトリストプラットフォームやTotem Technologiesの強化ガイドなどのツールを活用すれば、中小企業も大企業も、複雑な手続きを踏むことなく、このセキュリティモデルを導入できます。
国家による脅威が機密情報だけでなく、ロケットの設計から学生ローンデータまであらゆるものを標的とする世界において、ホワイトリストは単なるチェックボックスではなく、回復力、コンプライアンス、そして安全なサイバー環境を構築するための基盤となる制御手段です。
ウェビナーの完全版を視聴する
原文:Application Allowlisting: The Critical Security Tool for CMMC Compliance and Modern Cyber Defense (July 14, 2025 / Jessica Molden)
